Právní předpis byl sestaven k datu 28.05.2018.
Zobrazené znění právního předpisu je účinné od 28.05.2018 do 31.10.2025.
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti)
82/2018 Sb.
ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ
Předmět úpravy §1
Vymezení pojmů §2
ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ
HLAVA I - ORGANIZAČNÍ OPATŘENÍ
Systém řízení bezpečnosti informací §3
Řízení aktiv §4
Řízení rizik §5
Organizační bezpečnost §6
Bezpečnostní role §7
Řízení dodavatelů §8
Bezpečnost lidských zdrojů §9
Řízení provozu a komunikací §10
Řízení změn §11
Řízení přístupu §12
Akvizice, vývoj a údržba §13
Zvládání kybernetických bezpečnostních událostí a incidentů §14
Řízení kontinuity činností §15
Audit kybernetické bezpečnosti §16
HLAVA II - TECHNICKÁ OPATŘENÍ
Fyzická bezpečnost §17
Bezpečnost komunikačních sítí §18
Správa a ověřování identit §19
Řízení přístupových oprávnění §20
Ochrana před škodlivým kódem §21
Zaznamenávání událostí informačního a komunikačního systému, jeho uživatelů a administrátorů §22
Detekce kybernetických bezpečnostních událostí §23
Sběr a vyhodnocování kybernetických bezpečnostních událostí §24
Aplikační bezpečnost §25
Kryptografické prostředky §26
Zajišťování úrovně dostupnosti informací §27
Průmyslové, řídicí a obdobné specifické systémy §28
Digitální služby §29
HLAVA III - BEZPEČNOSTNÍ POLITIKA A BEZPEČNOSTNÍ DOKUMENTACE
Bezpečnostní politika a bezpečnostní dokumentace §30
ČÁST TŘETÍ - KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT
Kategorizace kybernetických bezpečnostních incidentů §31
Forma a náležitosti hlášení kybernetických bezpečnostních incidentů §32
ČÁST ČTVRTÁ - REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE
Reaktivní opatření §33
Kontaktní údaje §34
ČÁST PÁTÁ - ZÁVĚREČNÁ USTANOVENÍ
Přechodná ustanovení §35
Zrušovací ustanovení §36
Účinnost §37
Příloha č. 1 - Hodnocení aktiv
Příloha č. 2 - Hodnocení rizik
Příloha č. 3 - Zranitelnosti a hrozby
Příloha č. 4 - Likvidace dat
Příloha č. 5 - Obsah bezpečnostní politiky a bezpečnostní dokumentace
Příloha č. 6 - Výbor pro řízení kybernetické bezpečnosti a bezpečnostní role
Příloha č. 7 - Řízení dodavatelů - bezpečnostní opatření pro smluvní vztahy
Příloha č. 8 - Vzor Formuláře pro hlášení kontaktních údajů
82
XXXXXXXX
xx dne 21. xxxxxx 2018
o bezpečnostních xxxxxxxxxx, kybernetických bezpečnostních xxxxxxxxxxx, xxxxxxxxxxx opatřeních, xxxxxxxxxxxxx xxxxxx x xxxxxxx kybernetické xxxxxxxxxxx x likvidaci xxx (xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx)
Xxxxxxx xxxx pro xxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx stanoví podle §28 xxxx. 2 xxxx. a) xx x) x x) xxxxxx x. 181/2014 Xx., x xxxxxxxxxxxx xxxxxxxxxxx a o xxxxx xxxxxxxxxxxxx xxxxxx (xxxxx x xxxxxxxxxxxx xxxxxxxxxxx), xx xxxxx xxxxxx č. 104/2017 Xx. x xxxxxx x. 205/2017 Xx., (xxxx xxx "zákon"):
ČÁST XXXXX
XXXXXX XXXXXXXXXX
§1
Xxxxxxx xxxxxx
Xxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxx předpis Evropské xxxx1) x xxx xxxxxxxxxx xxxxxx kritické xxxxxxxxxx infrastruktury, xxxxxxxxxxx xxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxx xxxxxxxxxx xxxxxx, xxxxxxxxxx xxxxxx xxxxxxxx xxxxxx xxxxx xxxxxxxxxx xxxxxx nebo xxx xxxxxxxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxx, (xxxx xxx "xxxxxxxxxx a xxxxxxxxxxx xxxxxx") upravuje
a) xxxxx a xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) obsah x xxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) typy, xxxxxxxxx x hodnocení významnosti xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx a xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) náležitosti xxxxxxxx x xxxxxxxxx reaktivního xxxxxxxx a xxxx xxxxxxxx,
x) xxxx xxxxxxxx xxxxxxxxxxx xxxxx x xxxx xxxxx x
x) xxxxxx likvidace xxx, xxxxxxxxxx xxxxx, xxxxxxxxx x jejich xxxxx.
§2
Xxxxxxxx xxxxx
Xxx xxxxx xxxx xxxxxxxx se xxxxxx
x) xxxxxxxxxxxxxxx xxxxx xxxxxxxxxxx xxxxxx, xxxxxx, xxxxxxx, xxxxxx x xxxxxxxxxx technického xxxxxx,
x) xxxxxxxxxxxxxxx xxxxxxx riziko, xxxxx je xxxxxxxxxx xxx xxxxx xxxx xxxxx, xxxxx xxxx xxxxxxx zavést bezpečnostní xxxxxxxx podle xxxxxx, (xxxx xxx "povinná xxxxx") a není xxxxx jej xxxxxxx xxxxxx dalších xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxx xxxxxx zásad x xxxxxxxx, xxxxx xxxxxx xxxxxx xxxxxxxxx xxxxxxx xxxxx,
x) xxxxxxxxxx rizik xxxxxxx xxxxxx identifikace, xxxxxxx x xxxxxxxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx, která xxxx způsobit xxxxx,
x) xxxxxxxxx xxxxxxx technické xxxxxxx, xxxxxxxxxxx x xxxxxxxxxx podílející xx xx provozu, xxxxxxx, xxxxxx xxxx bezpečnosti xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxx xxxxxxx xxxxxxxxx nebo služba, xxxxxx xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx x xxxxxxxxxxx xxxxxx,
x) xxxxxxx xxxxxxx, xx určitá xxxxxx využije xxxxxxxxxxxxx xxxxxx a xxxxxxx xxxxx,
x) xxxxxxx xxxxx xxxxxxx xxxxxxxxxx xxxxxxxxx xxxxx, výběr x xxxxxxxx xxxxxxxx xx xxxxxxxx xxxxx, xxxxxxx xxxxxxxxx x xxxxxx x xxxxxxxxx a xxxxxxxxxxx rizik,
j) xxxxxxxx xxxxxx xxxxxxxxxxx informací xxxx xxxxxxx řízení xxxxxxx xxxxx založená xx xxxxxxxx x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx, xxxxx xxxxxxx xxxxxx xxxxxxxx, xxxxxxxx, xxxxxxxxxxx, xxxxxxxxxxxx, xxxxxxxxxxx, udržování x xxxxxxxxxx bezpečnosti xxxxxxxxx x xxx,
x) xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxx xxxxxxxx, xxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx a xxxxxxx, xx xxxxxxx jsou xxxx xxxxxxx xxxxxxxx, xxxxxxx xxxxxxx xxxx xxx xxxxx xx xxxxxxxxxx x xxxxxxxxxxx xxxxxx,
x) xxxxxxxxxx fyzická xxxx xxxxxxxxx xxxxx xxxxx orgán veřejné xxxx, xxxxx xxxxxxxxx xxxxxx,
x) vrcholovým xxxxxxx xxxxx xxxx skupina xxxx, které xxxx xxxxxxxx xxxxx, xxxx xxxxxxxxxx xxxxx xxxxxxx xxxxx,
x) xxxxxxxxx dodavatelem xxxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx (dále xxx "xxxxxxxxxxxx") x xxxxx, xxx x xxxxxxxx xxxxxx xxxxxxxx xx xxxxxxxx vztahu, xxxxx je xxxxxxxx x hlediska bezpečnosti xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) významnou xxxxxx xxxxx, xxxxx má xxxx xxxx xxx xxxx xx xxxxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxxx xxxxxx riziko,
p) zranitelností xxxxx xxxxx aktiva xxxx xxxxx xxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxx být xxxxxxxx xxxxxx nebo xxxx xxxxxxxx.
ČÁST DRUHÁ
BEZPEČNOSTNÍ XXXXXXXX
XXXXX X
XXXXXXXXXXX XXXXXXXX
§3
Xxxxxx xxxxxx xxxxxxxxxxx informací
Povinná xxxxx x xxxxx systému xxxxxx bezpečnosti xxxxxxxxx
x) xxxxxxx x xxxxxxx xx xxxxxxxxx dotčených xxxxx x xxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací, xx xxxxxx určí xxxxxxxxxxx xxxxx a xxxxxx, xxxxx xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx týká,
b) xxxxxxx xxxx systému řízení xxxxxxxxxxx xxxxxxxxx,
x) xxx xxxxxxxxx rozsah systému xxxxxx xxxxxxxxxxx xxxxxxxxx xx xxxxxxx cílů xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx xxxxxx x xxxxxxxxx xxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
x) řídí xxxxxx xxxxx §5,
e) vytvoří x schválí xxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxx xxxxxx xxxxxx, xxxx, xxxxxxxxxxxx xxxxxxx, xxxxx x xxxxxxxxxx ve xxxxxx k xxxxxx xxxxxxxxxxx xxxxxxxxx, x xx xxxxxxx bezpečnostních xxxxxx x výsledků xxxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxx politiku v xxxxxxx xxxxxxxxx xxxxx §30 x zavede xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxx auditu xxxxxxxxxxxx bezpečnosti x xxxxxxxxxxxx a komunikačního xxxxxxx (dále xxx "xxxxx xxxxxxxxxxxx bezpečnosti") xxxxx §16,
g) zajistí xxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací xxxxxx revize hodnocení xxxxx, xxxxxxxxx xxxxxxxx xxxxxxxxxxx auditů xxxxxxxxxxxx xxxxxxxxxxx a dopadů xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů xx xxxxxx řízení xxxxxxxxxxx xxxxxxxxx,
x) průběžně xxxxxxxxxxxx a xxxxxxxx xxxxx §11 xxxx xxxxxxxx xxxxx, xxxxx xxxxx xx xxxxxxx xxxxxxx řízení bezpečnosti xxxxxxxxx,
x) xxxxxxxxxxx systém xxxxxx xxxxxxxxxxx informací x xxxxxxxxxx dokumentaci xx xxxxxxx xxxxxxxx xxxxxx kybernetické bezpečnosti, xxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx x v xxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxxx xxxxxxx x
x) xxxx xxxxxx a xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací x xxxxxxxxxxx xxxxxxxx spojené xx systémem xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxx rizik.
§4
Xxxxxx xxxxx
(1) Povinná xxxxx x xxxxx xxxxxx xxxxx
x) xxxxxxx xxxxxxxx pro xxxxxxxxxxxx xxxxx,
x) stanoví metodiku xxx hodnocení xxxxx xxxxxxx x rozsahu xxxxxxxx v příloze č. 1 x xxxx xxxxxxxx,
x) xxxxxxxxxxxx x xxxxxxx xxxxxx,
x) určí x xxxxxxx xxxxxxx aktiv,
e) xxxxxxx x xxxxxxx xxxxxxxx aktiva x xxxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx a xxxxxx xx do xxxxxxxxxxxx xxxxxx podle xxxxxxx x),
x) určí x eviduje xxxxx xxxx primárními x xxxxxxxxxx aktivy a xxxxxxx důsledky xxxxxxxxxx xxxx xxxxxxxxxx x xxxxxxxxxx aktivy,
g) xxxxxxx xxxxxxxx xxxxxx x xxxxxxxxxx přitom xxxxxxx xxxxxxxx xxxxxxxxxx podle xxxxxxx x),
x) xx xxxxxxx xxxxxxxxx aktiv xxxxxxxxx a zavádí xxxxxxxx xxxxxxx xxxxx xxx zabezpečení xxxxxxxxxxxx xxxxxx xxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxx xxxxxxxxx xxxxx x pravidla xxx xxxxxxxxxx s xxxxxx x xxxxxxx xx xxxxxx aktiv, xxxxxx xxxxxxxx xxx xxxxxxxx elektronické xxxxxxx x fyzické přenášení xxxxx, a
j) určí xxxxxx xxxxxxxxx dat, xxxxxxxxxx xxxxx, xxxxxxxxx x xxxxxx xxxxx xxxx likvidaci technických xxxxxx dat s xxxxxxx xx xxxxxx xxxxx v xxxxxxx x přílohou č. 4 x xxxx xxxxxxxx.
(2) Xxx xxxxxxxxx xxxxxxxxxxx primárních xxxxx je třeba xxxxxxxx xxxxxxx
x) xxxxxx x xxxxxxxxxx osobních xxxxx, xxxxxxxxxx kategorií xxxxxxxx xxxxx xxxx xxxxxxxxxx xxxxxxxxx,
x) rozsah xxxxxxxxx xxxxxxxx povinností xxxx jiných xxxxxxx,
x) xxxxxx xxxxxxxx vnitřních xxxxxxxx a kontrolních xxxxxxxx,
x) poškození veřejných, xxxxxxxxxx nebo xxxxxxxxxxxx xxxxx a možné xxxxxxxx xxxxxx,
x) xxxxxx xx xxxxxxxxxxx xxxxxxxxxx xxxxxx,
x) xxxxxx narušení xxxxxxx xxxxxxxx,
x) xxxxxx xx zachování dobrého xxxxx xxxx xxxxxxx xxxxx xxxxxxx,
x) xxxxxx xx xxxxxxxxxx a xxxxxx osob,
i) dopady xx xxxxxxxxxxx xxxxxx x
x) xxxxxx xx xxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx systému.
§5
Xxxxxx xxxxx
(1) Xxxxxxx xxxxx x rámci xxxxxx xxxxx x xxxxxxxxxx na §4
x) xxxxxxx metodiku xxx xxxxxxxxx rizik, včetně xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxxxxxx rizik,
b) s xxxxxxx xx xxxxxx xxxxxxxxxxxx xxxxxxxxxx hrozby x xxxxxxxxxxxxx; xxxxxx xxxxxxx zejména kategorie xxxxxx x xxxxxxxxxxxxx xxxxxxxxx x příloze č. 3 x této vyhlášce,
c) xxxxxxx xxxxxxxxx xxxxx x xxxxxxxxxxxx intervalech xxxxx odstavce 2 x xxx xxxxxxxxxx xxxxxxx,
x) xxx xxxxxxxxx xxxxx zohlední xxxxxxxxxx xxxxxx x xxxxxxxxxxxxx x xxxxxxx xxxxx xxxxxx xx aktiva; xxxx xxxxxx xxxxxxx xxxxxxx x rozsahu přílohy č. 2 x xxxx xxxxxxxx,
x) xxxxxxxx xxxxxx x xxxxxxxxx xxxxx,
x) xxxxxxxx na základě xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx rizik xxxxxxxxxx x xxxxxxxxxxxxxxxx, xxxxx xxxxxxxx přehled xxxxxxxxxxxxxx xxxxxxxx požadovaných xxxxx xxxxxxxxx, xxxxx
1. xxxxxx xxxxxxxxxx, včetně xxxxxxxxxx,
2. byla xxxxxxxxxx, xxxxxx xxxxxxx xxxxxx,
x) xxxxxxxx a xxxxxx xxxx zvládání xxxxx, xxxxx xxxxxxxx cíle x xxxxxxx bezpečnostních xxxxxxxx xxx xxxxxxxx xxxxxxxxxxxx xxxxx, určení xxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxx, xxxxxxxx xxxxxxxx, xxxxxxxxx, xxxxxx x xxxxxxxxxx xxxxxx, xxxxxx jejich xxxxxxxx, xxxxx xxxxx xxxx xxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx opatřeními x xxxxxx xxxxxxxxx bezpečnostních xxxxxxxx,
x) při xxxxxxxxx xxxxx a x xxxxx xxxxxxxx xxxxx xxxxxxxx
1. xxxxxxxx xxxxx,
2. xxxxx rozsahu xxxxxxx xxxxxx xxxxxxxxxxx informací,
3. xxxxxxxx xxxxx §11 xxxxxx a
4. xxxxxxxxxxxx xxxxxxxxxxxx incidenty, xxxxxx xxxxx xxxxxxxx, a
i) x xxxxxxx x xxxxxx zvládání xxxxx xxxxxx xxxxxxxxxxxx opatření.
(2) Xxxxxxx osoba xxxxxxx x §3 písm. x), d) x x) xxxxxx provádí xxxxxxxxx xxxxx alespoň xxxxxx ročně x xxxxxxx xxxxx xxxxxxx x §3 písm. x) xxxxxx xxxxxxx xxxxxx xx tři xxxx.
(3) Xxxxxx xxxxx xxxx xxx zajištěno x xxxxxx způsoby, xxx xxx xx xxxxxxxxx x odstavci 1 písm. d), xxxxx povinná xxxxx xxxxxxxxx, xx použitá xxxxxxxx xxxxxxx xxxxxxx xxxx vyšší xxxxxx xxxxxxx řízení rizik.
§6
Organizační xxxxxxxxxx
(1) Povinná xxxxx s xxxxxxx xx xxxxxx řízení xxxxxxxxxxx xxxxxxxxx
x) xxxxxxx xxxxxxxxx bezpečnostní xxxxxxxx x xxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx xxxxx §3 slučitelných xx xxxxxxxxxxxx xxxxxxxxxx xxxxxxx osoby,
b) xxxxxxx xxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxxx osoby,
c) xxxxxxx dostupnost xxxxxx xxxxxxxxxx pro systém xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxx xxxxxxxxxxx x xxxxxxx systému xxxxxx xxxxxxxxxxx informací a xxxxxxx xxxxxxxx xxxxx x xxxx požadavky xx xxxxx xxxxxxxxx xxxxxxxx,
x) zajistí xxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací,
f) xxxx xxxxxxxxxxx x rozvíjení xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxxxx xx xxx xxxxx xxxxxxxxx,
x) prosazuje xxxxxxxx zlepšování xxxxxxx xxxxxx xxxxxxxxxxx informací,
h) xxxxxxxxx xxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxx xxx xxxxxxxxxxx xxxxxxxxxxxx bezpečnosti x xxxxxxxxx xxxxxx xxxxxxxxxxxx,
x) zajistí xxxxxxxxx xxxxxxxx xxx určení xxxxxxxxxxxxxx x xxxx, xxxxx xxxxx zastávat xxxxxxxxxxxx xxxx,
x) xxxxxxx, xxx xxxx xxxxxxxxx xxxxxxxxxxx administrátorů x xxxx zastávajících bezpečnostní xxxx,
x) pro osoby xxxxxxxxxxx xxxxxxxxxxxx role xxxxxxx příslušné pravomoci x xxxxxx xxxxxx xxxxxxxxxxxx prostředků x xxxxxxxxxx jejich xxxx x xxxxxx xxxxxxxxxxxxx xxxxx x
x) zajistí xxxxxxxxx xxxxx kontinuity xxxxxxxx, obnovy x xxxxxxx spojených xx xxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx.
(2) Xxxxxxx xxxxx x xxxxx xxxxxxx xxxxxx bezpečnosti informací xxxx xxxxxxx výboru xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxx x xxxxxx xxxxx x xxxxxxxxxx xxxxxxxxxxx se xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
(3) Xxxxxxx xxxxx uvedená x §3 xxxx. x), x) x x) zákona určí xxxxx, která bude xxxxxxxx xxxxxxxxxxxx xxxx
x) xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxx aktiva x
x) xxxxxxxx xxxxxxxxxxxx bezpečnosti.
(4) Xxxxxxx osoba xxxxxxx x §3 písm. x) xxxxxx xxxx xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx a garanta xxxxxx. Xxxxxxx xxxxxxxxxxxx xxxx xxxxx xxxxxxxx 3 xxxx přiměřeně xxxxxxxx k xxxxxxx x potřebám xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
(5) Xxxxxxx osoba uvedená x §3 xxxx. x), x) a x) zákona zajistí xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxx v xxxxxxxx 3 xxxx. x) x b).
(6) Xxxxxxx xxxxx xxxxxxx x §3 písm. x) xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxx role xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(7) Výbor xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx tvořen xxxxxxx s příslušnými xxxxxxxxxxx a xxxxxxxx xxxxxxxxxxxx xxx xxxxxxx xxxxxx a xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx a osobami xxxxxxxx xx podílejícími xx xxxxxx a xxxxxxxxxx xxxxxxxx xxxxxxxxx x kybernetickou bezpečností, xxxxx xxxxxx musí xxx alespoň jeden xxxxxxxx xxxxxxxxxxx xxxxxx xxxx jím xxxxxxxx xxxxx a xxxxxxx xxxxxxxxxxxx bezpečnosti. Xxxxxxx xxxxx u výboru xxx řízení kybernetické xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxx x příloze č. 6 x xxxx xxxxxxxx.
§7
Xxxxxxxxxxxx xxxx
(1) Xxxxxxx xxxxxxxxxxxx bezpečnosti
a) xx xxxxxxxxxxxx xxxx odpovědná xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, přičemž xxxxxxx xxxx xxxx xxxx xxx xxxxxxxx xxxxx, xxxxx xx xxx xxxx činnost xxxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxx x xxxxxxx xxxxxxxxxxx xxxxxxxxx
1. xx dobu xxxxxxx xxx xxx, xxxx
2. xx xxxx xxxxxxx xxxx, xxxxx absolvovala xxxxxxx xx xxxxxx xxxxx,
x) xxxxxxxx xx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxx o
1. xxxxxxxxxx xxxxxxxxxxxxx z rozsahu xxxx xxxxxxxxxxxx x
2. xxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací a
c) xxxxx být xxxxxxx xxxxxxx rolí xxxxxxxxxxx xx xxxxxx informačního x xxxxxxxxxxxxx systému.
(2) Xxxxxxxxx kybernetické xxxxxxxxxxx xx xxxxxxxxxxxx xxxx xxxxxxxxx xx zajištění xxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx tak, aby xxxx xxxxxxxxx xxxxxxxx xxxxxxxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx, xxxxxxx xxxxxxx xxxx role xxxx xxx xxxxxxxx xxxxx, která xx xxx xxxx xxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx způsobilost xxxxx x xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxx architektury xxxxxxxxxxx
x) xx xxxx nejméně xxx xxx, xxxx
x) xx dobu jednoho xxxx, pokud xxxxxxxxxxx xxxxxxx xx vysoké xxxxx.
(3) Garant xxxxxx xx xxxxxxxxxxxx xxxx xxxxxxxxx xx xxxxxxxxx xxxxxxx, použití x xxxxxxxxxx aktiva.
(4) Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
x) je xxxxxxxxxxxx role xxxxxxxxx xx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx, přičemž xxxxxxx této xxxx xxxx být pověřena xxxxx, xxxxx xx xxx xxxx xxxxxxx xxxxxxxxx x prokáže xxxxxxxx způsobilost praxí x xxxxxxxxxx auditů xxxxxxxxxxxx xxxxxxxxxxx nebo xxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx
1. po xxxx nejméně xxx xxx, nebo
2. xx xxxx xxxxxxx roku, xxxxx xxxxxxxxxxx studium xx vysoké xxxxx,
x) xxxxxxxx, že xxxxxxxxx xxxxxx xxxxxxxxxxxx bezpečnosti xx xxxxxxxxx, a
c) xxxxx xxx pověřen xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxx.
(5) Xxxxxxx osoba xxx xxxxxxxx osob xxxxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxx v příloze č. 6 x této xxxxxxxx.
§8
Xxxxxx dodavatelů
(1) Xxxxxxx xxxxx
x) stanoví pravidla xxx xxxxxxxxxx, která xxxxxxxxxx požadavky xxxxxxx xxxxxx bezpečnosti xxxxxxxxx,
x) xxxx xxxxxxxx xxxxx xxxxxxxxxx dodavatelů,
c) prokazatelně xxxxxxx xxxxxxxxx xxx xxxxxxxx xxxxxxxxxx x xxxxxx xxxxxxxx xxxxx xxxxxxx x),
x) seznamuje xxx xxxxxxxxxx x xxxxxxxx xxxxx xxxxxxx x) x vyžaduje xxxxxx xxxxxx pravidel,
e) xxxx rizika xxxxxxx x dodavateli,
f) x xxxxxxxxxxx x řízením xxxxx spojených s xxxxxxxxxx dodavateli xxxxxxx, xxx xxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx relevantní xxxxxxx xxxxxxx v příloze č. 7 x xxxx xxxxxxxx, x
x) xxxxxxxxxx přezkoumává xxxxxx smluv s xxxxxxxxxx dodavateli z xxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
(2) Povinná xxxxx u významných xxxxxxxxxx xxxx
x) x xxxxx výběrového xxxxxx x před xxxxxxxxx xxxxxxx provádí xxxxxxxxx xxxxx xxxxxxxxxxxxx s xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx přiměřeně xxxxx přílohy č. 2 k xxxx xxxxxxxx,
x) v rámci xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxx xxxxxxx a xxxxxx realizace xxxxxxxxxxxxxx xxxxxxxx x xxxx xxxxx vzájemné xxxxxxx xxxxxxxxxxxx za xxxxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxx xxxxx x xxxxxxxxxxx kontrolu zavedených xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxx xxxxxx pomocí xxxxxxxxx xxxxxx xxxx xxxxxx xxxxx xxxxxx x
x) x reakci xx xxxxxx x xxxxxxxx xxxxxxxxxx zajistí xxxxxx xxxxxx.
(3) Náležitosti xxxxxxxxxxxxxx xxxxxxxxxxx podle xxxxxxxx 1 písm. x) jsou
a) xxxxxxxxxxxx xxxxxxx xxxx xxxxxxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxx dodavatele,
d) xxxxxxxxxx x xxxxxxxxxxx, že xxxxxxxxx je xxx xxxxxxx xxxxxxxxx dodavatelem, x xxxxxxxxx xxxx x xxx, že xxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxxxxxxxxxx, x
x) xxxxx xxxxxxxx xxxxx xxxxxxxx 1 písm. x).
(4) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx, xxxxx xx xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxx informována xxxxx odstavce 1 xxxx. x), xxxxx xxxxxxxxx údaje xxxxxx xxxxxxxx v §34.
§9
Xxxxxxxxxx xxxxxxxx xxxxxx
(1) Xxxxxxx xxxxx x xxxxx xxxxxx bezpečnosti xxxxxxxx zdrojů
a) x xxxxxxx xx stav x potřeby xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxx plán xxxxxxx xxxxxxxxxxxxxx povědomí, xxxxx xxxxx xx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxx bezpečnostního povědomí x který obsahuje xxxxx, obsah a xxxxxx
1. poučení xxxxxxxxx, xxxxxxxxxxxxxx, xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x xxxxxxxxxx x xxxxxx xxxxxxxxxxxx x x xxxxxxxxxxxx xxxxxxxx x
2. xxxxxxxxxx teoretických x xxxxxxxxxxx školení xxxxxxxxx, xxxxxxxxxxxxxx a osob xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) xxxx xxxxx xxxxxxxxx xx xxxxxxxxx jednotlivých xxxxxxxx, xxxxx xxxx x plánu uvedeny,
c) x xxxxxxx x xxxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx zajistí xxxxxxx xxxxxxxxx, administrátorů, xxxx xxxxxxxxxxxxx xxxxxxxxxxxx role x dodavatelů x xxxxxx povinnostech x x bezpečnostní xxxxxxxx xxxxxx vstupních x xxxxxxxxxxxx xxxxxxx,
x) xxx xxxxx xxxxxxxxxxx bezpečnostní xxxx v souladu x xxxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx zajistí xxxxxxxxxx xxxxxxx školení, xxxxxxx vychází z xxxxxxxxxx potřeb xxxxxxx xxxxx x xxxxxxx xxxxxxxxxxxx bezpečnosti,
e) v xxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxx pravidelné xxxxxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx zaměstnanců v xxxxxxx x jejich xxxxxxxx xxxxxx,
x) zajistí xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx ze strany xxxxxxxxx, xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) v xxxxxxx xxxxxxxx xxxxxxxxx xxxxxx x xxxxxxxxxxxxxx a xxxxxxx xxxxxxxxxxxxx bezpečnostní xxxx zajistí předání xxxxxxxxxxxx,
x) xxxxxxx xxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxx xx zlepšováním xxxxxxxxxxxxxx povědomí x
x) xxxx xxxxxxxx a xxxxxxx xxx řešení xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xx xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
(2) Xxxxxxx xxxxx vede x xxxxxxx podle xxxxxxxx 1 xxxxxxxx, xxxxx xxxxxxxx předmět xxxxxxx x seznam osob, xxxxx xxxxxxx xxxxxxxxxxx.
§10
Řízení provozu a xxxxxxxxxx
(1) Xxxxxxx xxxxx x xxxxx řízení xxxxxxx x xxxxxxxxxx xxxxxxxxx bezpečný xxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx x stanoví xxxxxxxx xxxxxxxx x xxxxxxx, xxxxx xxxxxxxx xxxxxxx
x) práva x xxxxxxxxxx administrátorů, xxxxxxxxx x osob xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) xxxxxxx xxx xxxxxxxx a xxxxxxxx xxxxx xxxxxxx, xxx xxxxxxx xxxx xxxxxxxx xxxxx xxxxxxx xx xxxxxxx x xxx xxxxxxxx xxxxxxxxx xxxxx xxxx xxxxxxxxxxx xxxx,
x) postupy xxx xxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x xxxxxxxx xxx ochranu xxxxxxxx x záznamům x xxxxxx událostech,
d) xxxxxxxx x xxxxxxx pro xxxxxxx před škodlivým xxxxx,
x) řízení xxxxxxxxxxx xxxxxxxxxxxxx,
x) xxxxxxx xx xxxxxxxxx osoby, xxxxx xxxx xxxxxxxx výkonem xxxxxxxxx x xxxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxx x xxxxxxxxxxx xxxxxxxxxx xxxx,
x) xxxxxxx pro xxxxxxxxx, plánování x xxxxxx kapacity xxxxxxxx x xxxxxxxxxxx xxxxxx,
x) xxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxxxxx x xxx x xxxxxxx xxxxxx xxxxxxxxx xxxxx,
x) pravidla a xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxx,
x) xxxxxxxxx xxxxxxxxxxxx zálohování x xxxxxxxx použitelnosti xxxxxxxxxxx xxxxx a
l) xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx síťových xxxxxx.
(2) Xxxxxxx xxxxx x rámci xxxxxx xxxxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxx a xxxxxxx stanovené xxxxx xxxxxxxx 1 x xxxx xxxxxxxx x xxxxxxx xxxxxxxxxxx v xxxxxxxxxxx x xxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxxx.
(3) Xxxxxxx xxxxx xxxxxxx xxxxxxxx xxxxxxxxxx, testovacího x xxxxxxxxxx xxxxxxxxx.
§11
Řízení xxxx
(1) Xxxxxxx xxxxx v xxxxx xxxxxx změn u xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx
x) přezkoumává xxxxx xxxxxx xxxx x
x) xxxxxx xxxxxxxx změny.
(2) Xxxxxxx osoba x xxxxxxxxxx změn
a) xxxxxxxxxxx xxxxxx xxxxxx,
x) provádí xxxxxxx rizik,
c) xxxxxxx xxxxxxxx xx účelem xxxxxxx xxxxx nepříznivých xxxxxx xxxxxxxxx s xxxxxxxxxx změnami,
d) aktualizuje xxxxxxxxxxxx politiku x xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxx xxxxxx testování x
x) xxxxxxx možnost xxxxxxxxx xx původního xxxxx.
(3) Xxxxxxx xxxxx uvedená x §3 xxxx. x), x) a x) xxxxxx xx xxxxxxx výsledků analýzy xxxxx xxxxx odstavce 2 xxxx. b) xxxxxxxxx x provedení xxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxxxxx; xxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxxxxx testování xxxx xxxxxxxxx xxxxxxxxxxxxx, xxxxxxxxx xxxxx §25 xxxx. 1 x xxxxxxx xx xxxxxxxx nedostatky.
(4) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) zákona xx xxxx požadavky xxxxx xxxxxxxx 3 xxxxxxxxx.
§12
Řízení přístupu
(1) Xxxxxxx xxxxx na základě xxxxxxxxxx a xxxxxxxxxxxxxx xxxxxx xxxx xxxxxxx x xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx x xxxxxxx opatření, xxxxx xxxxxx x xxxxxxxxx xxxxxxx xxxxx, xxxxx xxxx xxxxxxxxx pro xxxxxxxxxx xxxxx §19 x 20, x xxxxx brání xx xxxxxxxx xxxxxx xxxxx xxxxxxxxxxxx osobou.
(2) Povinná xxxxx dále v xxxxx řízení xxxxxxxx x xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx
x) xxxx xxxxxxx xx základě xxxxxx a rolí,
b) xxxxxxx každému xxxxxxxxx x xxxxxxxxxxxxxxxx přistupujícímu x xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxxxx xxxxx x oprávnění x xxxxxxxxx xxxxxxxxxxxxx,
x) xxxx xxxxxxxxxxxxxx, xxxxxxxxxx xxxxx x xxxxxxxxx xxxxxxxx x technických xxxx,
x) xxxxxx xxxxxxxxxxxx xxxxxxxx pro xxxxxx xxxxxxxx xxxxxxxx k xxxxxxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx,
x) zavádí xxxxxxxxxxxx opatření xxxxxxxx xxx bezpečné používání xxxxxxxxx zařízení x xxxxxx xxxxxxxxxxx xxxxxxxx, xxxxxxxxx i bezpečnostní xxxxxxxx spojená x xxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxx osoba xxxx xx xxx xxxxxx,
x) xxxxx přidělování xxxxxxxxxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxx xxxxxx x xxxxxx xxxxxx xxxxx,
x) xxxxx x xxxxxxxxxx používání xxxxxxxxxxxx xxxxxxxxxx, xxxxx xxxxx xxx schopné překonat xxxxxxxxx xxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxxxx a xxxxxxx xxxxxxxxxx xxxxxxxxx x souladu x xxxxxxxxx řízení xxxxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx včetně xxxxxxxxx xx xxxxxxxxxxxx skupin x xxxx,
x) xxxxxxx xxxxxxx pro správu x ověřování xxxxxxxx xxxxx §19 x xxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §20,
x) prosazuje, xxx xxxxxxxxx při xxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxx xxxx xxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxx xxxxxx xxxx xxxxxxxx uživatelů, xxxxxxxxxxxxxx nebo xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) xxxxxxx odebrání xxxx xxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxxxxx nebo xxxxx xxxxxxxxx vztahu x
x) dokumentuje xxxxxxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx.
§13
Akvizice, vývoj x xxxxxx
Xxxxxxx xxxxx x xxxxxxxxxxx x plánovanou xxxxxxxx, xxxxxxx x xxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx
x) xxxx xxxxxx xxxxx §5,
b) xxxx xxxxxxxx změny xxxxx §11,
x) stanoví xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxx xxxxxxxxxxxx xxxxxxxxx xx xxxxxxxx xxxxxxxx, xxxxxx x údržby,
e) xxxxxxx xxxxxxxxxx xxxxxxxxxx a xxxxxxxxxxx xxxxxxxxx x xxxxxxx ochranu xxxxxxxxxxx xxxxxxxxxxx xxx,
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxx xxxx xxxxxx xxxxxxxxx xx provozu x
x) plní xxxxxxxxx xxxxx §19 xxxx. 3, je-li xxxxx xxxxxxxxx akvizice xxxx xxxxxx xxxxxxx pro xxxxxx a xxxxxxxxx xxxxxxxx.
§14
Xxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x xxxxxxxxx
(1) Xxxxxxx xxxxx x xxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
x) zavede proces xxxxxxx x vyhodnocování xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) přidělí xxxxxxxxxxxx x xxxxxxx xxxxxxx xxx
1. xxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxx a
2. xxxxxxxxxx x zvládání xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxx x xxxxxxxx xxxxxxx xxx identifikaci, xxxx, xxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu,
d) xxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) při xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xx dále xxxx §22 x 23,
x) xxxxxxx, xx xxxxxxxxx, xxxxxxxxxxxxxx, osoby zastávající xxxxxxxxxxxx role, xxxxx xxxxxxxxxxx x xxxxxxxxxx xxxxx xxxxxxxxx xxxxxxxxx xxxxxxx informačního a xxxxxxxxxxxxx systému a xxxxxxxxx na jakékoliv xxxxxxxxxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx, xxx kterém xxxx xxx xxxxxxxxxx, xxx xxxx xxx xxxxxxxxxxxxx xxxx kybernetické bezpečnostní xxxxxxxxx xxxxx §31,
x) xxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx podle xxxxxxxxxxx postupů,
i) přijímá xxxxxxxx xxx odvrácení x zmírnění dopadu xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu,
j) xxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxxx xxxxx §32,
x) xxxx xxxxxxx o xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentech x x xxxxxx xxxxxxxx,
x) xxxxxxxx a xxxx příčiny xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x
x) xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx x xx základě xxxxxxxxxxx xxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx, popřípadě xxxxxxxxxxx stávající bezpečnostní xxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
(2) Xxxxxxx xxxxx xxxxxxx x §3 písm. x), x) x x) xxxxxx xxxx při xxxxxxx kybernetických bezpečnostních xxxxxxxx používá xxxxxxx xxxxx §24.
§15
Řízení xxxxxxxxxx činností
Povinná xxxxx x xxxxx xxxxxx kontinuity xxxxxxxx
x) xxxxxxx xxxxx a xxxxxxxxxx xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) xxxxxx xxxxxxxxx xxxxx x analýzy xxxxxx vyhodnotí x xxxxxxxxxxx xxxxx xxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx x xxxxxxx xxxxx xxxxxx xxxxxxxxxxx s xxxxxxxxx kontinuity xxxxxxxx,
x) xx základě výstupů xxxxxxxxx xxxxx a xxxxxxx xxxxxx xxxxx xxxxxxx x) xxxxxxx xxxx xxxxxx xxxxxxxxxx xxxxxxxx xxxxxx xxxxxx
1. xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx, xxxxx xx xxxxxxxxxx xxx užívání, xxxxxx x správu xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
2. doby xxxxxxxx xxxxx, xxxxx xxxxx xxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx obnovena xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx informačního a xxxxxxxxxxxxx xxxxxxx, x
3. xxxx xxxxxxxx xxx xxxx xxxxxx xxxxxx, xx xxxxx xxxx xxx xxxxxx xxxxxxxx xxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx nebo xx selhání,
d) stanoví xxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx, xxxxx xxxxxxxx xxxxxxxx xxxx xxxxx xxxxxxx c),
e) xxxxxxxxx, xxxxxxxxxxx x xxxxxxxxxx xxxxxxx xxxxx xxxxxxxxxx xxxxxxxx x havarijní xxxxx související x xxxxxxxxxxxx informačního x xxxxxxxxxxxxx systému x xxxxxxxxxxxxx xxxxxx a
f) xxxxxxxxx opatření pro xxxxxxx xxxxxxxxx informačního x xxxxxxxxxxxxx systému xxxx xxxxxxxxxxxxx bezpečnostním xxxxxxxxxx a xxxxxxxx xxxxxxxxxxx x xxxxxxx xxx tom z xxxxxxxxx xxxxx §27.
§16
Audit xxxxxxxxxxxx xxxxxxxxxxx
(1) Xxxxxxx xxxxx v xxxxx xxxxxx kybernetické xxxxxxxxxxx
x) xxxxxxx x xxxxxxxxxxx xxxxx dodržování xxxxxxxxxxxx xxxxxxxx, xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxx, x výsledky xxxxxx xxxxxxxx v plánu xxxxxxx xxxxxxxxxxxxxx xxxxxxxx x plánu xxxxxxxx xxxxx a
b) posuzuje xxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxx, xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx, xxxxxx xxxxxxxx x xxxxxxxxx závazky xxxxxxxxxxxx xx x xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x xxxx xxxxxxxx xxxxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxxx.
(2) Xxxxx xxxxx odstavce 1 xx prováděn
a) xxx xxxxxxxxxx xxxxxxx, x xxxxx xxxxxx xxxxxxx,
x) x xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx xx 3 xxxxxx x xxxxxxx povinné osoby xxxxxxx x §3 xxxx. x) zákona x
x) x xxxxxxxxxxxx xxxxxxxxxxx alespoň po 2 xxxxxx x xxxxxxx povinné xxxxx xxxxxxxxx v xxxxxxx x).
(3) Xxxx-xx x xxxxxxxxxxxx případech možné xxxxxxx xxxxx x xxxxxxxxxxx podle xxxxxxxx 2 xxxx. x) x x) x xxxxx xxxxxxx, xx xxxxx xxxxx xxxxxxxx xxxxxxxx xx xxxxxxxxxxxxxx xxxxxxx. X xxxxxxx xxxxxxx je xxxxx xxxxx v xxxxx xxxxxxx xxxxxxx nejpozději xx 5 let.
(4) Xxxxx kybernetické xxxxxxxxxxx xxxx xxx xxxxxxxx xxxxxx vyhovující xxxxxxxxx xxxxxxxxxx x §7 xxxx. 4, xxxxx xxxxxxxxx hodnotí xxxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx opatření.
(5) Xxxxxxx xxxxx, xxxxx je xxxxxxxx xxxxxxxxxxxxxx, předkládá xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx správci xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx.
HLAVA II
TECHNICKÁ XXXXXXXX
§17
Xxxxxxx xxxxxxxxxx
Xxxxxxx osoba x xxxxx xxxxxxx xxxxxxxxxxx
x) xxxxxxxxx xxxxxxxxx, xxxxxxx xxxx zneužití aktiv xxxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) stanoví xxxxxxx bezpečnostní xxxxxxxx xxxxxxxxxxxx xxxxxx, ve xxxxx xxxx uchovávány x zpracovávány xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx, x
x) x xxxxxxxxx bezpečnostního xxxxxxxxx stanoveného xxxxx xxxxxxx x) xxxxxx xxxxxxxx opatření x xxxxxxxxx xxxxxxxxxx fyzické xxxxxxxxxxx
1. x xxxxxxxx xxxxxxxxxxxxx xxxxxx,
2. x xxxxxxxx poškození x xxxxxxxxxxxx zásahům x
3. xxx xxxxxxxxx ochrany xx xxxxxx xxxxxxx x v rámci xxxxxxx.
§18
Bezpečnost xxxxxxxxxxxxx xxxx
Xxxxxxx xxxxx xxx ochranu xxxxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxx x rozsahu xxxxx §3 písm. x)
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxx,
x) xxxxxxx xxxxxx xxxxxxxxxx x xxxxx xxxxxxxxxxx xxxx x xxxxxxxxx komunikační xxxx,
x) xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxxx xxx při xxxxxxxxx přístupu, xxxxxxxx xxxxxx xxxx při xxxxxxxx xx xxxxxxxxxxx xxxx xxxxxx bezdrátových xxxxxxxxxxx,
x) xxxxxxx xxxxxxx xxxxxxxxx xxxxxxxxxx a
e) xxx xxxxxxxxx xxxxxxxxxx xxxx a xxx xxxxxx komunikace xxxx xxxxxx xxxxxxxx využívá xxxxxxx, který xxxxxxx xxxxxxx xxxxxxxxx komunikační xxxx.
§19
Xxxxxx a xxxxxxxxx xxxxxxx
(1) Xxxxxxx osoba xxxxxxx nástroj xxx xxxxxx a ověření xxxxxxxx uživatelů, administrátorů x aplikací xxxxxxxxxxxx x komunikačního systému.
(2) Xxxxxxx xxx xxxxxx x ověření xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxxxxxx xxxxxxxxx
x) ověření xxxxxxxx xxxx xxxxxxxxx xxxxxxx x informačním x xxxxxxxxxxxx xxxxxxx,
x) xxxxxx počtu xxxxxxx xxxxxxxxxxx pokusů x xxxxxxxxxx,
x) xxxxxxxx xxxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxx xxxxx xxxxxxxxxxxxx xxxxxxxx a zneužití,
d) xxxxxxxx xxxxxxxxxxxxxx údajů xx xxxxx xxxxxx xxxxx offline xxxxxx,
x) xxxxxxxx ověření identity xx xxxxxx době xxxxxxxxxx,
x) xxxxxxxx důvěrnosti xxxxxxxxxxxxxx xxxxx xxx xxxxxx přístupu x
x) xxxxxxxxxxxxxxx správu xxxxxxx.
(3) Xxxxxxx xxxxx xxx xxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxxxxxx xxxxxxx xxxxxxxxxxxx mechanizmus, xxxxx xxxx založený xxxxx xx použití xxxxxxxxxxxxxx xxxx x xxxxx, xxxxx xx xxxxxxxxxxxxx xxxxxxxxxxx x xxxxxxx xxxxx xxxxxxx xxxx xxxxxxx.
(4) Xx xxxx xxxxxxx xxxxxxxxx xxxxx xxxxxxxx 3 xxxx nástroj pro xxxxxxx identity uživatelů, xxxxxxxxxxxxxx x xxxxxxxx, xxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxx a xxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxx.
(5) Xx doby xxxxxxx požadavků xxxxx xxxxxxxx 3 xxxx 4 xxxx xxxxxxx xxx xxxxxxx identity xxxxxxxxx, administrátorů x xxxxxxxx, xxxxx xxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxx xxxx a xxxxx, xxxxxxxxx pravidla
a) xxxxx xxxxx xxxxxxx
1. 12 xxxxx x uživatelů x
2. 17 xxxxx x xxxxxxxxxxxxxx a xxxxxxxx,
x) umožňující xxxxx xxxxx x délce xxxxxxx 64 znaků,
c) xxxxxxxxxxx použití xxxxxx x xxxxxxx xxxxxx, xxxxxx x speciálních xxxxx,
x) xxxxxxxxxx xxxxxxxxxx xxxxx xxxxx, xxxxxxx xxxxxx mezi xxxxx xxxxxxx xxxxx xxxxx xxx xxxxxx xxx 30 xxxxx,
x) neumožňující xxxxxxxxxx a administrátorům
1. xxxxxx si nejčastěji xxxxxxxxx xxxxx,
2. xxxxxx xxxxx xx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxx, xxxxxxxxxxxxxx jména, x-xxxxx, názvu systému xxxx obdobným xxxxxxxx x
3. opětovné xxxxxxx xxxxx používaných hesel x xxxxxx alespoň 12 xxxxxxxxxxx xxxxx x
x) xxx xxxxxxxx xxxxx xxxxx x xxxxxxxxx xxxxxxxxx xx 18 měsících, xxxxxxx xxxx xxxxxxxx xx xxxxxxxxxx xx xxxx xxxxxxxx x xxxxxx xxxxxxx x případě xxxxxxx.
(6) Povinná xxxxx x xxxxxxx používání xxxxxxxxxxx xxxxx xxxxx x xxxxxx xxxx
x) xxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxx xxxxx po xxxx xxxxxx xxxxxxx,
x) xxxxxxxxxxx zneplatní xxxxx xxxxxxxx k xxxxxxxx xxxxxxxx xx jeho xxxxxx použití nebo xxxxxxxxx nejvýše 60 xxxxx xx xxxx xxxxxxxxx x
x) xxxxxxx xxxxxx xxxxxxxx tvorby xxxxxxxxxx xxxxx xx xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx podle §9.
§20
Řízení xxxxxxxxxxxx xxxxxxxxx
Xxxxxxx xxxxx používá xxxxxxxxxxxxxx xxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxx xxxxxx oprávnění
a) xxx xxxxxxx x xxxxxxxxxxx xxxxxxx xxxxxxxxxxxx x komunikačního systému x
x) xxx xxxxx xxx, zápis dat x xxxxx xxxxxxxxx.
§21
Xxxxxxx před xxxxxxxxx xxxxx
(1) Povinná xxxxx xxxxxxx x §3 xxxx. x), d) x x) xxxxxx x xxxxx xxxxxxx xxxx škodlivým xxxxx
x) x ohledem xx xxxxxxxxxx xxxxx xxxxxxxxx xxxxxxx xxxxxxxx xxx xxxxxxxxxxxx xxxxxxxxxxxx ochranu
1. xxxxxxxxx xxxxxx,
2. xxxxxxxxx xxxxxxxx,
3. xxxxxxx,
4. xxxxxxxx xxxxxxx x výměnných xxxxxxxx nosičů,
5. komunikační xxxx a xxxxx xxxxxxxxxxx sítě x
6. xxxxxxxxx xxxxxxxx,
x) monitoruje x xxxx xxxxxxxxx xxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxx,
x) řídí xxxxxxxxxxx spouštění xxxxxx xxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxx,
x) xxxx xxxxxxxxx xx xxxxxxxxx xxxx x
x) xxxxxxx xxxxxxxxxxx x účinnou xxxxxxxxxxx xxxxxxxx xxx xxxxxxx xxxx škodlivým xxxxx.
(2) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) zákona xxxxxxxxx podle xxxxxxxx 1 xxxxxxxxx.
§22
Zaznamenávání událostí informačního x xxxxxxxxxxxxx xxxxxxx, xxxx xxxxxxxxx x xxxxxxxxxxxxxx
(1) Povinná xxxxx
x) xxxxxxxxxxx xxxxxxxxxxxx a xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x
x) xx xxxxxxx xxxxxxxxx důležitosti aktiv xxxxxxxxxxx xxxxxx xxxxx, x kterých xx xxxxxxxxxxxxx bezpečnostních a xxxxxxxxxx xxxxxxxx xxxxxxxxx.
(2) Xxxxxxx xxxxx pro xxxxxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxx podle xxxxxxxx 1 xxxxxxxxx
x) xxxxxxxxxxxx xxxxxxx identifikaci xxxxxxxx původce, xx-xx x komunikační síti xxxxxx xxxxxxx, který xxxx xxxx xxxxxxx xxxxxxxxxxxx,
x) sběr xxxxxxxxx x xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx; zejména xxxxxxxxxxx
1. datum a xxx včetně specifikace xxxxxxxx xxxxx,
2. xxx xxxxxxxx,
3. xxxxxxxxxxxx xxxxxxxxxxx xxxxxx, xxxxx činnost xxxxxxxxxxx,
4. xxxxxxxxxxxx xxxxxxxxxxxx xxxx, pod kterým xxxx xxxxxxx provedena,
5. xxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxx x
6. xxxxxxxxx xxxx xxxxxxxxxxx xxxxxxxx,
x) xxxxxxx informací xxxxxxxxx xxxxx xxxxxx x) a x) xxxx xxxxxxxxxxxx xxxxxx x xxxxxxxxx xxxxxx,
x) xxxxxxxxxxxxx
1. přihlašování a xxxxxxxxxxx xx xxxx xxxxx, x xx xxxxxx xxxxxxxxxxx pokusů,
2. xxxxxxxx provedených administrátory,
3. xxxxxxx x xxxxxxxxx xxxxxxxxxx s xxxx, xxxxxxxxxxx x xxxxx,
4. xxxxxxxxxxx xxxxxxxx v xxxxxxxx nedostatku xxxxxxxxxxxx xxxx a xxxxxxxxx,
5. xxxxxxxx xxxxxxxxx, xxxxx xxxxx xxx vliv xx xxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému,
6. xxxxxxxx x xxxxxxxx xxxxxxxx xxxxxxxxxxx aktiv,
7. xxxxxxxxxx x xxxxxxxxx xxxxxxx xxxxxxxxxxx aktiv x
8. xxxxxxxx x xxxxxxxx o xxxxxxxxxx, xxxxxx x xxxxxxxxxx xx xxxxxxx o xxxxxxxxxx x xxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxxx událostí x
x) xxxxxxxxxxxxx xxxxxxxxxx času xxxxxxxxxxx aktiv xxxxxxx xxxxxx xx 24 xxxxx.
(3) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x), x) x x) xxxxxx xxxxxxxx záznamy xxxxxxxx xxxxxxxxxxxxx xxxxx xxxxxxxx 2 xxxxxxx xx xxxx 18 xxxxxx.
(4) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) xxxxxx xxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxx xxxxxxxx 2 xxxxxxx xx xxxx 12 měsíců.
§23
Xxxxxxx kybernetických bezpečnostních xxxxxxxx
(1) Povinná osoba x xxxxx xxxxxxxxxxx xxxx, xxxxx součástí xx informační a xxxxxxxxxxx xxxxxx, xxxxxxx xxxxxxx pro detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx zajistí
a) ověření x xxxxxxxx xxxxxxxxxxx xxx x rámci xxxxxxxxxxx xxxx a xxxx xxxxxxxxxxxxx sítěmi,
b) xxxxxxx x xxxxxxxx xxxxxxxxxxx dat xx xxxxxxxxx komunikační sítě x
x) xxxxxxxxx nežádoucí xxxxxxxxxx.
(2) Povinná osoba xxxxxxx v §3 xxxx. c), x) x f) zákona xxxxxxx xxxxxxx kybernetických xxxxxxxxxxxxxx událostí přiměřeně x xxxxxxx xx xxxxxxxxxx xxxxx x xxxxx
x) koncových stanic,
b) xxxxxxxxx xxxxxxxx,
x) xxxxxxx,
x) xxxxxxxx xxxxxxx a xxxxxxxxx xxxxxxxx nosičů,
e) xxxxxxxx xxxxxxxxx xxxxx x
x) obdobných xxxxx.
§24
Sběr x vyhodnocování xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
Xxxxxxx xxxxx uvedená x §3 písm. x), x) x x) xxxxxx používá xxxxxxx xxx xxxx x xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, který xxxxxx
x) xxxx a xxxxxxxxxxxxx xxxxxxxx zaznamenaných xxxxx §22 a 23,
x) xxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxxx xxxxxxxxx pro xxxxxx xxxxxxxxxxxx role x detekovaných kybernetických xxxxxxxxxxxxxx událostech,
d) xxxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x xxxxx identifikace xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx, xxxxxx xxxxxxxx varování xxxxxxxx xxxxxxxxxxxxxx xxxx,
x) xxxxxxx případů xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx pravidelnou xxxxxxxxxxx xxxxxxxxx xxxxxxxx xxx
1. xxxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx událostí a
2. xxxxxx xxxxxxxx x
x) xxxxxxxxx xxxxxxxxx získaných xxxxxxxxx xxx sběr x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxxx nastavení xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx systému.
§25
Xxxxxxxxx bezpečnost
(1) Xxxxxxx xxxxx provádí xxxxxxxxxx xxxxx informačního a xxxxxxxxxxxxx xxxxxxx xx xxxxxxxxx xx důležitá xxxxxx, x xx
x) xxxx xxxxxx xxxxxxxx xx provozu x
x) x xxxxxxxxxxx x xxxxxxxxx xxxxxx xxxxx §11 odst. 3.
(2) Xxxxxxx xxxxx xxxx x rámci xxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxx xxxxxxxx, informací x xxxxxxxxx xxxx
x) xxxxxxxxxxxx xxxxxxxx x
x) xxxxxxxx provedených xxxxxxxx.
§26
Kryptografické xxxxxxxxxx
Xxxxxxx osoba xxx xxxxxxx xxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx
x) xxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxx x kryptografické klíče,
b) xxxxxxx xxxxxx xxxxxx xxxxx a xxxxxxxxxxx, xxxxx
1. xxxxxxx generování, xxxxxxxxxx, ukládání, xxxxx, xxxxxxx platnosti, zneplatnění xxxxxxxxxxx x likvidaci xxxxx a
2. umožní xxxxxxxx a xxxxx,
x) xxxxxxxxx xxxxxxxx xxxxxxxxx x kryptografickými xxxxxxxxxx x
x) xxxxxxxxxx doporučení x xxxxxxx kryptografických xxxxxxxxxx xxxxxx Xxxxxx, xxxxxxxxxx xx xxxx xxxxxxxxxxxxx stránkách.
§27
Zajišťování úrovně xxxxxxxxxxx xxxxxxxxx
Xxxxxxx osoba xxxxxx xxxxxxxx xxx xxxxxxxxxxx xxxxxx dostupnosti, xxxxxxx xxxxxxx
x) xxxxxxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx xxx splnění xxxx xxxxx §15,
x) xxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx, které xx xxxxx snížit xxxx xxxxxxxxxx,
x) xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x
x) xxxxxxxxxx xxxxx nezbytných pro xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx.
§28
Xxxxxxxxxx, xxxxxx a xxxxxxx xxxxxxxxxx xxxxxxx
Xxxxxxx xxxxx xxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx, xxxxxxxx x obdobných xxxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxxx x opatření, xxxxx zajistí
a) použití xxxxxxxxxxx a xxxxxxxxxxxx xxxxxxxxxx, které xxxx xxxxxx xx xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx fyzického xxxxxxxx x xxxxxxxxx xxxxxx xxxxxxx a xx xxxxxxxxxxx xxxx,
x) xxxxxxxxx komunikační xxxx xxxxxx pro tyto xxxxxxx xx ostatní xxxxxxxxxxxxxx,
x) xxxxxxx x xxxxxx xxxxxxxxxx xxxxxxxx x xxxxx xxxxxxxx,
x) xxxxxxx jednotlivých technických xxxxx xxxxxx systémů xxxx využitím xxxxxxx xxxxxxxxxxxxx x
x) xxxxxxxx xxxxx xxxxxx xxxxxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx.
§29
Digitální xxxxxx
(1) Xxxxxxx xxxxx uvedená v §3 xxxx. h) xxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxx xxxxx xxxxxxxxxxx xxxxxxxx Xxxxxx (XX) 2018/151 xx xxx 30. xxxxx 2018, xxxxxx xx xxxxxxx xxxxxxxx xxx uplatňování xxxxxxxx Xxxxxxxxxx xxxxxxxxxx x Xxxx (XX) 2016/1148, xxxxx xxx x bližší xxxxxxxxx xxxxx, xxxxx xxxx xxxxxxxxxxxxx digitálních služeb xxxxxxxxxxx xxx řízení xxxxxxxxxxxxxx xxxxx, xxxxx xxxx vystaveny sítě x xxxxxxxxxx xxxxxxx, x xxxxxxxxx xxx xxxxxxxxxx toho, xxx xx dopad incidentu xxxxxxxx; xxxxxxxxxx §3 xx 28 xx xx xxxx xxxxxxxx xxxxx xxxxxxxxx.
(2) Xxxxxxx xxxxx xxxxxxx v §3 xxxx. x) xxxxxx hlásí kontaktní xxxxx podle §34 xxxx. 2.
(3) Povinná xxxxx xxxxxxx v §3 xxxx. x) xxxxxx hlásí xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx podle §32 xxxx. 2 x 3.
XXXXX XXX
XXXXXXXXXXXX XXXXXXXX X BEZPEČNOSTNÍ DOKUMENTACE
§30
Bezpečnostní xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx
(1) Povinná xxxxx
x) xxxxxxx xxxxxxxxxxxx politiku x xxxx bezpečnostní xxxxxxxxxxx xxxxxxxxxx oblasti xxxxxxx x příloze č. 5,
b) xxxxxxxxxx přezkoumává xxxxxxxxxxxx xxxxxxxx a bezpečnostní xxxxxxxxxxx x
x) xxxxxxx, xxx xxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx aktuální.
(2) Bezpečnostní xxxxxxxx a xxxxxxxxxxxx xxxxxxxxxxx xxxx být
a) xxxxxxxx v xxxxxxxx xxxx xxxxxxxxxxxx xxxxxx,
x) xxxxxxxxxxxx x xxxxx xxxxxxx xxxxx,
x) xxxxxxxxx xxxxxxxx dotčeným stranám,
d) xxxxxx,
x) chráněny x xxxxxxx xxxxxxxxxx, xxxxxxxxx x dostupnosti x
x) xxxxxx xxx, aby xxxxxxxxx x xxxx xxxxxxxx xxxx úplné, xxxxxxx, snadno identifikovatelné x snadno xxxxxxxxxxxx.
XXXX XXXXX
XXXXXXXXXXXX XXXXXXXXXXXX XXXXXXXX
§31
Xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxxxxxxx kybernetické xxxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxx xxxxx xxxxxxxxxxx xxx xxxxxxxxxx
x) dopadů xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx, podle xxxxxxx byly xxxxxxx xxxxx určeny,
b) xxxxx xxxxxxxxx uživatelů,
c) způsobené xxxx xxxxxxxxxxxxx xxxxx,
x) xxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx,
x) xxxxxx na xxxxxxxxxxx xxxxxx informačního x xxxxxxxxxxxxx xxxxxxx,
x) xxxxxx xx služby xxxxxxxxxxx jinými informačními x xxxxxxxxxxxxx xxxxxxx,
x) xxxxx xxxxxx xxxxxxxxx,
x) xxxxxxxxxxx rozsahu xxxxxxx xxxxxxx a
i) dalších xxxxxx.
(2) Xxx xxxxxxx xxxxxxx x zvládání xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx na základě xxxxxxxxxx podle xxxxxxxx 1 kybernetické bezpečnostní xxxxxxxxx xxxxxx xx xxxxxxxxxxxxx xxxxxxxxx
x) Xxxxxxxxx XXX - xxxxx xxxxxxxx kybernetický xxxxxxxxxxxx xxxxxxxx, xxx xxxxxx xx přímo a xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxx nebo xxxxx. Jeho řešení xxxxxxxx xxxxxxxxxx zásahy xxxxxxx x xxx, xx xxxx xxx xxxxx dostupnými xxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxx xxxx,
x) Xxxxxxxxx XX - xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxx kterém xx narušena xxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Jeho xxxxxx xxxxxxxx neprodlené xxxxxx xxxxxxx s xxx, xx xxxx být xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx, xxxx
x) Kategorie I - xxxx xxxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx, xxx xxxxxx xxxxxxx x méně významnému xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx xxxxxx nebo aktiv. Xxxx xxxxxx vyžaduje xxxxxx xxxxxxx x xxx, xx musí xxx vhodnými xxxxxxxxxx xxxxxxx další xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx.
(3) Xxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx xxxxx xxxxxx xxxx
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx aktiv,
b) xxxxxxxxxxxx xxxxxxxxxxxx incident xxxxxxxxxxx xxxxxxxx integrity xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx aktiv, xxxx
x) xxxxxxxxxxxx xxxxxxxxxxxx incident xxxxxxxxxxx kombinaci dopadů xxxxxxxxx x xxxxxxxxx x) až x).
(4) Xxxx ustanovení xx xxxxxxxxxx na xxxxxxxxxxxx xxxxxxxxxxxx incidenty x xxxxxxx xxxxx uvedené x §3 xxxx. x) xxxxxx.
§32
Xxxxx x xxxxxxxxxxx xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx
(1) Kybernetický bezpečnostní xxxxxxxx xx Xxxxx xxxxx na xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx xxxxxxxx
x) xx xxxxxx xxxxxxxxxxxx xxxxx Úřadu xxxxxxx xxx xxxxxx xxxxxxx kybernetických bezpečnostních xxxxxxxxx, xxxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx,
x) xx xxxxxx schránky Xxxxx, xxxx
x) prostřednictvím xxxxxxxx rozhraní, xxxxx xx xxxxxxxxx, jehož xxxxx je zveřejněn xx internetových stránkách Xxxxx.
(2) Kybernetický xxxxxxxxxxxx xxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx XXXX xxxxx xx xxxxxxxxxxxxx formuláři xxxxxxxxxxx na xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx národního XXXX xxxxxxxx
x) na xxxxxx elektronické xxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX xxxxxxx pro xxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx, zveřejněnou xx xxxx xxxxxxxxxxxxx xxxxxxxxx,
x) xx xxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX, xxxx
x) prostřednictvím internetových xxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX.
(3) Hlášení kybernetického xxxxxxxxxxxxxx incidentu xx xxxxx zaslat x x listinné xxxxxx, xxxxx xxxxx x xxxxxxxxx, xxx nelze xxxxxx xxxxx xx xxxxxxx xxxxxxxxx x xxxxxxxxxx 1 x 2.
(4) Náležitosti hlášení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxx
x) identifikace xxxxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) xxxxx x čas xxxxxxxx xxxxxxxxx x
x) popis xxxxxxxxx.
ČÁST ČTVRTÁ
REAKTIVNÍ XXXXXXXX X KONTAKTNÍ ÚDAJE
§33
Reaktivní xxxxxxxx
(1) Xxxxxxx xxxxx, xxxxx Xxxx xxxxxx xxxxxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxx dopady xxxxxxxxxxx xxxxxxxx xx xxxxxxxxxx a xxxxxxxxxxx xxxxxx a na xxxxxxxx xxxxxxxxxxxx opatření x xxxxxxxxx xxxxx xxxxxxxxx xxxxxx x
x) xxxxxxx xxxxxx rychlého xxxxxxxxx xxxxxx opatření, xxxxx xxxxxxxxxxxx xxxx xxxxx negativní xxxxxx, x xxxx xxxxxx xxxx xxxx xxxxxxxxx.
(2) Xxxxxxx xxxxx, xxxxx Xxxx xxxxxx xxxxxxx xxxxxxxxx opatření, xxxxxx xxxxxx xxxxxxxxx reaktivního xxxxxxxx a xxxx xxxxxxxx ve xxxxx xxxxxxx na xxxxxxxxxxxxx xxxxxxxxx Xxxxx.
§34
Xxxxxxxxx xxxxx
(1) Kontaktní xxxxx xx Xxxxx xxxxxxxx xx elektronickém xxxxxxxxx zveřejněném xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx xxxxxxxx
x) xx xxxxxx xxxxxxxxxxxx pošty Úřadu xxxxxxx pro příjem xxxxxxxx kontaktních údajů, xxxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Úřadu,
b) do xxxxxx xxxxxxxx Xxxxx, xxxx
x) xxxxxxxxxxxxxxx datového xxxxxxxx, xxxxx xx xxxxxxxxx, xxxxx xxxxx xx xxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Úřadu.
(2) Xxxxxxxxx xxxxx xx xxxxxxxxxxxxx xxxxxxxxx XXXX xxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx provozovatele xxxxxxxxx XXXX xxxxxxxx
x) xx xxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX určenou xxx xxxxxx xxxxxxxx xxxxxxxxxxx xxxxx, zveřejněnou xx xxxx xxxxxxxxxxxxx xxxxxxxxx,
x) xx xxxxxx xxxxxxxx xxxxxxxxxxxxx národního XXXX, xxxx
x) xxxxxxxxxxxxxxx internetových xxxxxxx provozovatele xxxxxxxxx XXXX.
(3) Hlášení xxxxxxxxxxx xxxxx je možné xxxxxx i x xxxxxxxx xxxxxx, avšak xxxxx x xxxxxxxxx, xxx xxxxx xxxxxx xxxxx xx způsobů xxxxxxxxx x odstavcích 1 a 2.
(4) Xxxx xxxxxxxx kontaktních xxxxx xx uveden x příloze č. 8 x xxxx xxxxxxxx.
(5) Xxxxxxx xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx, xxxxx xx provozovatelem, xxxx x xxxxxxx xxxxxxxxxxx údajů xxxxx xxxxxxxx 1 xxxxxxxx xxxxxxxx, xxxxxx xx xxxxxxx prokazatelně xxxxxxxxx xxxxx §8 odst. 1 písm. x).
XXXX XXXX
XXXXXXXXX XXXXXXXXXX
§35
Xxxxxxxxx xxxxxxxxxx
(1) V případě xxxxxxxxxxxx systémů xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxx xxxx xxxxxx xxxxx xxxx xxxxxx xxxxxxxxx xxxx xxxxxxxx, a x případě významných xxxxxxxxxxxx systémů, u xxxxxxx xxxxx x xxxxxxxx xxxxxxxxxx xxxxxxxx xxxxx xxxx xxxxxx xxxxxxxxx xxxx xxxxxxxx, xx xx jednoho xxxx xxx dne xxxxxx xxxxxxxxx xxxx xxxxxxxx xxx xxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxx x xxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxxxxx vyhlášky č. 316/2014 Sb., x bezpečnostních xxxxxxxxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentech, xxxxxxxxxxx opatřeních x x xxxxxxxxx náležitostí xxxxxx v xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx (xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx).
(2) X případě informačních xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, které xxxx xxxxxx xxxxx xxxx xxxxxx xxxxxxxxx xxxx xxxxxxxx, x x xxxxxxx xxxxxxxxxx informačních xxxxxxx, x xxxxxxx xxxxx x naplnění xxxxxxxxxx kritérií přede xxxx nabytí xxxxxxxxx xxxx vyhlášky, xx xx xxxxxxx xxxx xxx xxx xxxxxx xxxxxxxxx xxxx xxxxxxxx xxx xxxxxx likvidace xxx, xxxxxxxxxx xxxxx, xxxxxxxxx x xxxxxx xxxxx tato xxxxxxxx xxxxxxxxx.
§36
Zrušovací xxxxxxxxxx
Xxxxxxx xx xxxxxxxx č. 316/2014 Sb., x xxxxxxxxxxxxxx opatřeních, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxxx xxxxxxxxxx a x xxxxxxxxx xxxxxxxxxxx podání x oblasti kybernetické xxxxxxxxxxx (vyhláška x xxxxxxxxxxxx xxxxxxxxxxx).
§37
Xxxxxxxx
Xxxx xxxxxxxx nabývá xxxxxxxxx dnem xxxxxxxxx.
Xxxxxxx:
Xxx. Xxxxxxxx x. r.
Příloha č. 1 x vyhlášce x. 82/2018 Sb.
Hodnocení xxxxx
(1) Xxx xxxxxxxxx xxxxxxxxxxx xxxxx xxxx v xxxxx xxxxxxx xxxxxxx xxxxxxxx x čtyřech xxxxxxxx a xxxxxxxx xx, jaký xxxxx xx mělo xxxxxxxx xxxxxxxxxxx informací u xxxxxxxxxxxx xxxxx. Povinná xxxxx xxxx používat xxxxxxx xxxxx xxxxxx xxx hodnocení xxxxxxxxxxx xxxxx, xxx xxxx xx xxxxxx x xxxx xxxxxxx, xxxxxx-xx xxxxxxxxxxx vazby xxxx xxxx používaným způsobem xxxxxxxxx důležitosti xxxxx x xxxxxxxxxx x xxxxxxxx pro xxxxxxxxx xxxxxxxxxxx xxxxx, které xxxx uvedeny x xxxx příloze.
(2) Xx xxxxxxxxxx, xxx xx xxxxx xxxxxxx osoba xxxx xxxxxxxx matice xxxxxxxxxxxx xxxx potřebám.
Tab. 1: Stupnice xxx xxxxxxxxx důvěrnosti
|
Úroveň |
Popis |
Příklady xxxxxxxxx xx ochranu aktiva |
|
Nízká |
Aktiva xxxx xxxxxxx přístupná xxxx xxxx určena xx zveřejnění. Xxxxxxxx xxxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxxx xxxxx povinné xxxxx. X xxxxxxx xxxxxxx xxxxxxxx aktiva s xxxxxxx stranami a xxxxxxx xxxxxxxxxxx podle xxx. xxxxxxx xxxxx xxxxxxxxx (dále xxx "XXX") xx xxxxxxxxx xxxxxxxx TLP:WHITE. |
Není xxxxxxxxxx xxxxx ochrana. |
|
Xxxxxxx |
Xxxxxx xxxxxx veřejně přístupná x xxxxx know-how xxxxxxx xxxxx, xxxxxxx xxxxx xxxx vyžadována xxxxxx právním předpisem xxxx smluvním ujednáním. V xxxxxxx sdílení takového xxxxxx x třetími xxxxxxxx x xxxxxxx xxxxxxxxxxx podle XXX xx využíváno zejména xxxxxxxx XXX:XXXXX xxxx XXX:XXXXX. |
Xxx xxxxxxx xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxx řízení xxxxxxxx. |
|
Xxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx a xxxxxx xxxxxxx xx xxxxxxxxxx xxxxxxxx předpisy, jinými xxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx (xxxxxxxxx xxxxxxxx xxxxxxxxx, osobní údaje). V xxxxxxx xxxxxxx takového xxxxxx x xxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxx XXX xx využíváno xxxxxxx xxxxxxxx TLP:AMBER. |
Pro xxxxxxx xxxxxxxxxx jsou xxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxx xxxxxx x xxxxxxxxxxxxx xxxxxxxx. Xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxx xxxx xxxxxxxx pomocí xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx x xxxxxxxx nadstandardní xxxx xxxxxxx xxx xxxxx xxxxxxxxx kategorie (například xxxxxxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxx xxxxxxxxx osobních xxxxx). X případě xxxxxxx xxxxxxxx aktiva x xxxxxxx xxxxxxxx x xxxxxxx klasifikace podle XXX xx xxxxxxxxx xxxxxxx xxxxxxxx XXX:XXX xxxx XXX:XXXXX. |
Xxx xxxxxxx xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxx xxxxxx x xxxxxxxxxxxxx xxxxxxxx. Dále xxxxxx xxxxxxx xxxxxxxxxxx zneužití xxxxx xx xxxxxx xxxxxxxxxxxxxx. Xxxxxxx xxxxxxxxx xxxx chráněny xxxxxx xxxxxxxxxxxxxxxx prostředků. |
Xxx. 2: Xxxxxxxx pro xxxxxxxxx xxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxxx xxxxxxxxx xx ochranu xxxxxx |
|
Xxxxx |
Xxxxxxx xxxxxxxxxx xxxxxxx z xxxxxxxx xxxxxxxxx. Narušení xxxxxxxxx xxxxxx neohrožuje xxxxxxxxx zájmy xxxxxxx xxxxx. |
Xxxx vyžadována xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxxx xxxx xxxxxxxxx xxxxxxx z xxxxxxxx xxxxxxxxx. Narušení integrity xxxxxx xxxx xxxx x poškození xxxxxxxxxxx xxxxx xxxxxxx xxxxx x xxxx xx xxxxxxxx méně xxxxxxxxx xxxxxx xx xxxxxxxx xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxxxxxx (xxxxxxxxx omezení xxxxxxxxxxxx xxxx pro xxxxx). |
|
Xxxxxx |
Xxxxxxx vyžaduje ochranu x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxx xxxx x xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx xxxxx x xxxxxxxxxxx xxxxxx na primární xxxxxx. |
Xxx ochranu xxxxxxxxx xxxx využívány xxxxxxxxx xxxxxxxxxx, které xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxx xxxx x xxxxxxxxxx xxxxxxxx xxxxx provádějící xxxxx. Xxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx xxxxxx xx zajištěna xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxx xxxxxxxx ochranu x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxx x xxxxx xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx povinné xxxxx x xxxxxxx x velmi xxxxxxx xxxxxx na primární xxxxxx. |
Xxx xxxxxxx integrity xxxx využívány xxxxxxxxx xxxxxxxxxx jednoznačné xxxxxxxxxxxx xxxxx xxxxxxxxxxx xxxxx (xxxxxxxxx xxxxxx technologie xxxxxxxxxxx xxxxxxx). |
Xxx. 3: Xxxxxxxx xxx hodnocení xxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxxx xxxxxxxxx xx xxxxxxx aktiva |
|
Nízká |
Narušení xxxxxxxxxxx xxxxxx xxxx důležité x v xxxxxxx xxxxxxx je xxxxx xxxxxxxxxx delší xxxxxx xxxxxx pro xxxxxxx (xxx do 1 xxxxx). |
Xxx xxxxxxx xxxxxxxxxxx xx xxxxxxxxxxx pravidelné xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxx dostupnosti xxxxxx xx xxxxxx překročit xxxx pracovního xxx, xxxxxxxxxxxxx xxxxxxx xxxx x možnému xxxxxxxx xxxxxxxxxxx xxxxx povinné xxxxx. |
Xxx xxxxxxx xxxxxxxxxxx xxxx využívány xxxxx xxxxxx xxxxxxxxxx a xxxxxx. |
|
Xxxxxx |
Xxxxxxxx dostupnosti aktiva xx nemělo překročit xxxx xxxxxxxx xxxxx. Xxxxxxxx xxxxxxx xx xxxxx xxxxx xxxxxxxxxx, xxxxxxx vede x xxxxxxx ohrožení xxxxxxxxxxx xxxxx xxxxxxx xxxxx. Xxxxxx xxxx xxxxxxxxxx xx xxxxx xxxxxxxx. |
Xxx xxxxxxx xxxxxxxxxxx jsou xxxxxxxxx xxxxxxx systémy x obnova xxxxxxxxxxx xxxxxx xxxx xxx xxxxxxxxx xxxxxx obsluhy xxxx xxxxxxx xxxxxxxxxxx xxxxx. |
|
Xxxxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xxxx xxxxxxxxx a x xxxxxxxxxx xxxxxxxxxxxx (x xxxx xxxxxxxx xxxxx) xxxx k xxxxxxx ohrožení oprávněných xxxxx xxxxxxx osoby. Xxxxxx xxxx xxxxxxxxxx xx xxxxxxxx. |
Xxx xxxxxxx xxxxxxxxxxx xxxx využívány xxxxxxx xxxxxxx x xxxxxx xxxxxxxxxxx xxxxxx xx xxxxxxxxxx a xxxxxxxxxxxxxx. |
Příloha č. 2 x xxxxxxxx x. 82/2018 Xx.
Xxxxxxxxx xxxxx
(1) Xxxxxxxxxxx xxxxxxxxx xxxxxx xxx určení xxxxxx xx xxxxxxxxx součástí xxxxxxxx pro xxxxxxxxx xxxxx xxxxx §5.
(2) Xxxxxxx xxxxxx je xxxxxxxxxx vyjádřena xxxx xxxxxx, xxxxxx xxxxxxxxx xxxxx, xxxxxx a xxxxxxxxxxxx.
(3) Pro hodnocení xxxxx xxx xxxxxx xxxxxxxxx tuto xxxxxx:
Xxxxxx = xxxxx x xxxxxx x xxxxxxxxxxxx.
(4) Xxxxx xx x xxxxx xxxxxxx xxxxxxx x hodnocení xxxxx xxxxx přílohy č. 1.
(5) V xxxxxxx, že xxxxxxx xxxxx xxxxxxx metodu xxx hodnocení xxxxx, xxxxx nerozlišuje hodnocení xxxxxx x xxxxxxxxxxxxx, xx xxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx x xxxxxxxxxxxxx sloučit. Xxxxxxxx stupnic xx xxxxxx vést xx xxxxxx schopnosti xxxxxxxxx xxxxxx hrozby x xxxxxxxxxxxxx. Za tímto xxxxxx lze xxxxxx xxxxxxxxx komentář, xxxxx xxxxxxxx xxxxxxx jak xxxxxx xxxxxx, xxx x xxxxxx zranitelnosti. Xxxxxxx xx xxxxxxxxx x x xxxxxxxxx, xxx povinná xxxxx xxxxxxx xxxx xxxxx xxxxxx xxx xxxxxxxxx xxxxxx, hrozeb, zranitelností x xxxxx.
Xxx. 1: Xxxxxxxx xxx hodnocení xxxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xxxxxxxxxx xxxx xx xxxx pravděpodobná. |
|
Střední |
Hrozba xx xxxx xxxxxxxxxxxxx xx xxxxxxxxxxxxx. |
|
Xxxxxx |
Xxxxxx xx xxxxxxxxxxxxx xx velmi xxxxxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xx xxxxx xxxxxxxxxxxxx až xxxxxxxx xxxxx. |
Xxx. 2: Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxxxxxxxx xxxxxxxxxx xxxx je xxxxxxxx xxxxxxxxxxxxx xxxx xxxxxxxxxxxxx. Xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxx xxxx xxxxxxx včas xxxxxxxxx xxxxx xxxxxxxxxxxxx xxxx xxxxxxxx xxxxxx x jejich xxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxx xxxxxxxxxxxxx xx málo xxxxxxxxxxxxx xx xxxxxxxxxxxxx. Xxxx zavedena xxxxxxxxxxxx xxxxxxxx, xxxxxxx účinnost xx xxxxxxxxxx kontrolována. Xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxx xxxxxxxxx xxxxx xxxxxxxxxxxxx xxxx xxxxxxxx xxxxxx x xxxxxxxxx xxxxxxxx xx xxxxxxx. Xxxxxx známé žádné xxxxxxx xxxxxx o xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxx |
Xxxxxxxx xxxxxxxxxxxxx je xxxxxxxxxxxxx xx velmi xxxxxxxxxxxxx. Xxxxxxxxxxxx opatření jsou xxxxxxxx, xxx xxxxxx xxxxxxxx nepokrývá všechny xxxxxxxx xxxxxxx x xxxx xxxxxxxxxx xxxxxxxxxxxx. Xxxx xxxxx xxxxx xxxxxxx pokusy o xxxxxxxxx bezpečnostních opatření. |
|
Kritická |
Zneužití xxxxxxxxxxxxx xx xxxxx xxxxxxxxxxxxx xx xxxxxxxx xxxxx. Bezpečnostní xxxxxxxx xxxxxx xxxxxxxxxxx xxxx xx xxxxxx xxxxxxxx xxxxxx xxxxxxx. Neprobíhá xxxxxxxx xxxxxxxxx bezpečnostních xxxxxxxx. Jsou xxxxx xxxxxxx xxxxxx překonání xxxxxxxxxxxxxx xxxxxxxx. |
Xxx. 3: Xxxxxxxx pro hodnocení xxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xx považováno xx xxxxxxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxx může xxx xxxxxxx méně xxxxxxxxx xxxxxxxxxx xxxx x xxxxxxx vyšší xxxxxxxxxx xxxxxxxx xx xxxxxx xxxxxxxxxxxxxx. |
|
Xxxxxx |
Xxxxxx je xxxxxxxxxx xxxxxxxxxxx x xxxx být xxxxxxxx xxxxxxxxxxxx xxxxx k xxxx odstranění. |
|
Kritické |
Riziko xx xxxxxxxxxxx x xxxx xxx xxxxxxxxxx xxxxxxxx xxxxx x xxxx xxxxxxxxxx. |
Xxxxxxx č. 3 x vyhlášce x. 82/2018 Xx.
Xxxxxxxxxxxxx x xxxxxx
Xxxxxxxxxx: Tato xxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxxx x xxxxxx. Xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx x xxxxxx xx odpovědností povinné xxxxx.
Xxxxxxxxxxxxx
1. nedostatečná xxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx,
2. xxxxxxxxxxx informačního x komunikačního xxxxxxx,
3. xxxxxxxxxxxx xxxxxxx vnějšího xxxxxxxxx,
4. xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx uživatelů x xxxxxxxxxxxxxx,
5. nedostatečná xxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx,
6. xxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx,
7. xxxxxxxxxxxx xxxxxxx při xxxxxxxxxxxxxx x odhalení xxxxxxxxxxx xxxxxxxxxxxxxx xxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů,
8. xxxxxxxxxxxx monitorování činnosti xxxxxxxxx a administrátorů x xxxxxxxxxxx odhalit xxxxxx nevhodné nebo xxxxxxx xxxxxxx xxxxxxx,
9. xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxx xxxx x xxxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxxxxxxxxxxxx xxxx,
10. xxxxxxxxxxxx xxxxxxx xxxxx,
11. xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx,
12. nedostatečná míra xxxxxxxxx kontroly,
13. xxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx xx xxxxxx zaměstnanců.
Hrozby
1. xxxxxxxx xxxxxxxxxxxx politiky, xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxxxxxxx ze xxxxxx uživatelů a xxxxxxxxxxxxxx,
2. poškození nebo xxxxxxx xxxxxxxxxxx anebo xxxxxxxxxxxx vybavení,
3. zneužití xxxxxxxx,
4. xxxxxxx programového xxxxxxxx x rozporu x licenčními xxxxxxxxxx,
5. xxxxxxxx xxx (xxxxxxxxx xxxx, xxxxxxx, xxxxxxx xxxx),
6. xxxxxxxx xxxxxxx xxxxxxxxxxx,
7. xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxx dodávek xxxxxxxxxx xxxxxxx,
8. xxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxxx údajů,
9. xxxxxx, xxxxxxxx xxxx xxxxxxxxx xxxxxx,
10. xxxxxxxxxx xxxxxxxxx xxxxxxx ze xxxxxx dodavatele,
11. xxxxxxxxx xx strany xxxxxxxxxxx,
12. xxxxxxxx vnitřních prostředků, xxxxxxx,
13. xxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxx xxxxxxxxxx xxxxxxx nebo jiných xxxxxxxxxx služeb,
14. nedostatek xxxxxxxxxxx s xxxxxxxxx xxxxxxxx xxxxxx,
15. xxxxxx xxxxxxxxxxxx xxxx xxxxxx xxxxxxxxxx xxxxxxxxxxx, xxxxxxx xxxxxxxxxxx xxxxxxx,
16. zneužití xxxxxxxxxxxxx xxxxxxxxxxx xxxxxx xxx,
17. xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx (odposlech, modifikace).
Xxxxxxx č. 4 x vyhlášce x. 82/2018 Xx.
Xxxxxxxxx xxx
(1) Xxxx příloha xxxxx xxxxxxxxxx xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému x xxxxxxxxxx xxxxxxx xxxxxx xxx a xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxx informace, provozních xxxxx, xxxxxxxxx a xxxxxx kopií.
(2) Jednotliví xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému xx xxxxxxx xxxxxxxx xxx xxxxxx xxx x xxxxxxxxx technických xxxxxx xxx x souladu x xxxxx xxxxxxxx. Xxx xxxxxx xxxxxxx xxxxxxxxxx podle xxxxxx xxxxxxxx předpisů. Xx xxxxx xxxxxx xxxxxxxxx xxxxxx xxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxx adekvátních pravidel xxx xxxxxx dat x xxxxxxxxx xxxxxxxxxxx xxxxxx xxx, xxxxxxxx x xxxxxxx x xxxxxxxxxxx aktiv.
(3) Pravidla xxx xxxxxxxxx dat xx xxxx xxx xxxxxxxxx xxxxxxxxx xxxxxxx x xxxxxxxxxxx aktiv x měla xx xxxxxxx zohledňovat
a) hodnotu xxxxxx (zejména x xxxxxxx xxxxxxxxxx),
x) xxxxxxxxxxx (xxxx x xxxxxxxx xxxxxx xxxxxxxxx),
x) zda xx xxxxx xxxxxxxxx xxxxxxx xxx kontrolou xxxxxxxxxx xx nikoliv,
d) xxx jsou xxxx xxxxxxxx dedikovaného xxxx xxxxxxxxxxxxxxx prostředí,
e) xxx xxxx xxxxxxxxx dat xxxxxxxx (xxxxxxx xxxxxxxxxxx, xxxx xxxxxxxxx),
x) dostupnost xxxxxxxx x nástrojů xxx xxxxxxxxx,
x) kapacitu xxxxxxxxxxxxx xxxxxx,
x) xxx xx x xxxxxxxxx xxxxxxxxx personál,
i) xxxxxxx xxxxxxxxx xxxxxxxxx,
x) xxxx xxxxxxxxx s xxxxxxx xx xxxxxxxx, školení, xxxxxxxx, opětovné využití xxxxxx xxxxxxxxx
x) xxxxx xxxxxxx xxxxxxxxx xxx (xxxxxxxxx zničením nosiče, xxxxxxxxxxxxxxxx přepsáním nosiče xxx, xxxxxxxxxxxxx xxx xxxxxx xxxxxxxxxx x xxxxxxx),
x) xxxxxxxxxx xxxxxxx xxxxxxxxx dat xxxxxxxx xx xxxxx xxxxxx xxxxxxxxx (xxxxxxxxx xxx xxxxxxxxx xxxxxxxx nebude xxxxx xxxxxx variantu xxxxxxx xxxxxxxxx, ale xxxxxxx xx xxxxxxx xxxxxxx xxxxxxxxx).
(4) Xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxx, provozních údajů, xxxxxxxxx x xxxxxx xxxxx:
x) Xxxxxxxxxx
1. Způsob xxxxxxxxx spočívá x xxxxxxxxxx xxx tak, xxx byla xxx xxxxxx nedostupná (xxxxxxxxx xxxxxxxxxx datového souboru, xxxxxxxx xxxxxxxxx dokumentu xx xxxxxx).
2. Xxx x xxxxxxx xxxxxxxx xxxxxx xxxxxxxxx xxx. X případě získání xxxxxx informace xx xxxxx s vynaložením xxxxxxxx úsilí informace xxxxxxx.
3. Tato metoda xxxx xxxxxxxxxx xxx xxxxxx xxxxxxxxxxx dat xxxxxxxxxxxx xxxxxxxx zápis.
4. Xxxxxxxxxx xxxxxx xxx xxxxxx xxxxxxxxxx xxxxxx (xxxxxxx z přílohy č. 1): xxxxx.
x) Xxxxxxxx
1. Xxxxxx xxxxxxxxx spočívá x xxxxxxxx chráněné informace xxxxxxxxxx hodnotami.
2. Jde x xxxxxxx xxxxxxxx xxxxxx likvidace xxx. Xxxxx dostupné xxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxx.
3. Xxxxxxxx xxxx xxx xxxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxxxx xxxxx k xxxxxxxxxxx xxxxxxxxx.
4. Tato xxxxxx xxxx xxxxxx xxx poškozená xxxxx, xxxxx neumožňující opětovný xxxxx, xxxxxxxx pro xxxxx x xxxxxx xxxxxxxxx.
5. Xxxxxxxxxx xxxxxx xxx xxxxxx xxxxxxxxxx xxxxxx (xxxxxxx x přílohy č. 1): xxxxx až xxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx
1. Xxxxxx xxxxxxxxx xxxxxxxxxxx xx xxxxxxx xxxxxx informace, xxxxxxxxx v xxxxxxxxx xxxxxxxx x následném xxxxxxx xxxxxx informace (xxxxxxxxxxx, chemickým xx xxxxxxxx xxxxxxxxx).
2. Xxx x xxxxxxxxxxxxxx metodu xxxxxxxxx xxx. Xxxxx xxxxxxxxx xx fyzické xxxxxxxxx xxxxx xxxxx xxxxxx xxx původní xxxx. Xxxxxxx xxxxxxxxx xxxx xxxxx xxxxxxx xxx xxx xxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx x xxxxx.
3. Xxxxxxxxxx xxxxxx likvidace xxx xxxxxx důvěrnosti aktiva (xxxxxxx x přílohy č. 1): xxxxxxx až kritická.
Příklad xxxxxxx xxxxxxx xxxxxxxxx xxxxx xxxxxx důvěrnosti xxxxxx (xxxxxxx x přílohy č. 1)
|
Xxxxxxxxx xxxxxx xxxxxxxxx xxxxx úrovně xxxxxxxxxxx xxxxxx |
|||||
|
Xxxxx informace |
1. Xxxxx |
2. Xxxxxxx |
3. Xxxxxx |
4. Kritická |
|
|
Informace xx xxxxxx xxxxxxxx xxxxxx (tištěné xxxxxxxxx, xxxxxxxx x xxxxxxx) |
Xxxxxxxxxx: Xxxxxxxx xx odpadu. |
Přepsání: Xxxxxxxxx. |
Xxxxxxx xxxxxxxxx: |
||
|
Fyzická xxxxxxxxx: |
|||||
|
Xxxxxxx xxxxxxxx (xxxxxxx xxxxxxxx, xxxxxxx) |
Xxxxxxxxxx: |
Xxxxxxxx: |
Xxxxxxx xxxxxxxxx: |
||
|
Xxxxxx zařízení (xxxxxx, xxxxxx, xxxxx x xxxxxxx) |
Xxxxxxxxxx: |
Xxxxxxxx: |
|||
|
Xxxxxxxxxxx xxxxxxxx (xxxxxxx, xxxxxxxx, xxx) |
|||||
|
Xxxxxxxxxx xxxxx (xxxxxxxxxx xxxxx, disky, XXX [Xxxx Xxxx Drive]) |
Odstranění: |
Xxxxxxxx: |
|||
|
Xxxxxxx xxxxx (XX, XXX, HD-DVD, XXX-XXX) |
Xxxxxxx xxxxxxxxx: |
||||
|
Xxxxxxx xxxxxxxxx. |
|||||
|
Xxxxxxxxxxxx média (flash xxxxxx) |
|||||
|
Xxxxxxxxxxx x xxxxx |
Xxxxxxxxx xxxxxx xxxxxxxxx xxx xx měl xxx xxxxxxxx smluvním ujednáním. |
||||
|
Odstranění: |
Xxxxxxxx: |
Xxxxxxxx: |
Xxxxxxxx/xxxxxxx xxxxxxxxx: |
||
|
Xxxxxxxxxxxx x xxxxxxx xxxxxxxxxxxx paměťového xxxxx je xxxxx xxxx po xxxxxxxx xxxxxx xxxxxxx. |
|||||
Xxxxxxx č. 5 x xxxxxxxx x. 82/2018 Xx.
Xxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx
1. Xxxxxxxxxxxx xxxxxxxx
1.1. Xxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx
x) Cíle, xxxxxxxx x xxxxxxx xxxxxx xxxxxxxxxxx informací.
b) Xxxxxx x xxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx řízení xxxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx pro řízení xxxxxx a xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx pro xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x postupy xxx xxxxxxxx opatření x zlepšování xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
1.2. Xxxxxxxx xxxxxx aktiv
a) Xxxxxxxxxxxx, hodnocení a xxxxxxxx xxxxxxxxxx aktiv
1. xxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxx xxxxxx xxxxxxx,
2. hodnocení xxxxxxxxxxx xxxxxxxxxx xxxxx x xxxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx.
x) Identifikace, xxxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx x evidence xxxxxxxxxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxx jejich xxxxxxx,
2. xxxxxx vazeb mezi xxxxxxxxxx x podpůrnými xxxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx úrovní xxxxx
1. xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxx aktiv,
2. xxxxxxxx xxx xxxxxxxxxx a xxxxxxxx xxxxx xxxxx xxxxxx xxxxx,
3. xxxxxxxxx xxxxxxx xxxxxxxxx aktiv.
d) Xxxxxxx spolehlivého xxxxxx xxxx xxxxxx xxxxxxxxxxx xxxxxx xxx, xxxxxxxxx, xxxxxxxxxx xxxxx x xxxxxx kopií.
1.3. Politika xxxxxxxxxxx bezpečnosti
a) Určení xxxxxxxxxxxxxx rolí a xxxxxx práv x xxxxxxxxxx.
x) Xxxxxxxxx xx xxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxx.
x) Xxxxxxxxx xx oddělení xxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxx.
1.4. Xxxxxxxx xxxxxx dodavatelů
a) Xxxxxxxx x xxxxxxxx xxx xxxxx xxxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx rizik xxxxxxxxxxxxx s xxxxxxxxxx.
x) Xxxxxxxxxxx xxxxxxx x xxxxxx služeb x xxxxxxx a xxxxxx xxxxxxxxx xxxxxxxxxxxxxx opatření x o určení xxxxxxxx xxxxxxx odpovědnosti.
d) Xxxxxxxx pro provádění xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx dodavatelů.
1.5. Xxxxxxxx xxxxxxxxxxx lidských xxxxxx
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxxx xxxx xxxxxxxxx
1. xxxxxxx x formy xxxxxxx xxxxxxxxx,
2. způsoby x xxxxx xxxxxxx xxxxxxx xxxxx,
3. způsoby a xxxxx xxxxxxx administrátorů,
4. xxxxxxx x formy xxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Bezpečnostní xxxxxxx nových zaměstnanců.
c) Xxxxxxxx xxx xxxxxx xxxxxxx porušení xxxxxxxxxxxx xxxxxxxx systému řízení xxxxxxxxxxx xxxxxxxxx.
x) Pravidla xxx xxxxxxxx pracovního xxxxxx xxxx xxxxx xxxxxxxx pozice
1. xxxxxxx xxxxxxxxx xxxxx a xxxxxxxx práv xxx xxxxxxxx xxxxxxxxxx xxxxxx,
2. xxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxx xxxxxxxx xxxxxx.
1.6. Xxxxxxxx řízení xxxxxxx x xxxxxxxxxx
x) Xxxxxxxxx x odpovědnosti xxxxxxx x bezpečným xxxxxxxx.
x) Postupy bezpečného xxxxxxx.
x) Požadavky x xxxxxxxxx xxxxxxxxxx provozu.
d) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx auditů xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxxxx xxxxx.
1.7. Xxxxxxxx xxxxxx přístupu
a) Xxxxxxx xxxxxxxxxxx xxxxxxxxx/xxxxxxx xxxx (xxxx to xxxx).
x) Xxxxxxxxx xx xxxxxx xxxxxxxx.
x) Životní xxxxxx xxxxxx přístupu.
d) Xxxxxx xxxxxxxxxxxxxxx xxxxxxxxx.
x) Řízení xxxxxxxx pro xxxxxxxxx xxxxxxx.
x) Pravidelné přezkoumání xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxx skupinách.
1.8. Xxxxxxxx bezpečného chování xxxxxxxxx
x) Xxxxxxxx xxx xxxxxxxx xxxxxxxxx x xxxxxx.
x) Xxxxxxxx použití xxxxxxxxxxxx xxxxx.
x) Bezpečné xxxxxxx xxxxxxxxxxxx pošty x xxxxxxxx xx xxxxxxxx.
x) Xxxxxxxx xxxxxxxx xxxxxxx.
x) Xxxxxxxx chování xx sociálních xxxxxx.
x) Xxxxxxxxxx xx xxxxxx x xxxxxxxx xxxxxxxxx.
1.9. Xxxxxxxx zálohování x xxxxxx x xxxxxxxxxxxx xxxxxxxx
x) Xxxxxxxxx na xxxxxxxxxx x obnovu.
b) Xxxxxxxx x xxxxxxx xxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx dlouhodobého xxxxxxxx.
x) Xxxxxxxx bezpečného xxxxxxxxxx x dlouhodobého xxxxxxxx xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxxxxx.
x) Pravidla x xxxxxxx testování xxxxxxxxxx a xxxxxx.
x) Xxxxxxxx xxxxxxxx x xxxxxxx, xxxxxxxxx xxxxxxxxxx.
1.10. Xxxxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxx informací
a) Xxxxxxxx x postupy xxx ochranu xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxx xxxxxxx xxxxxxxxxxxx výměny xxxxxxxxx.
x) Xxxxxxxx pro využívání xxxxxxxxxxxxxx xxxxxxx.
1.11. Politika xxxxxx technických xxxxxxxxxxxxx
x) Xxxxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxxxxxxxxxx opravných xxxxxxxxxxxx xxxxxxx.
x) Xxxxxxxx x xxxxxxx testování xxxxx xxxxxxxxxxxx xxxxxxxx.
x) Pravidla x xxxxxxx xxxxxxxx xxxxx xxxxxxxxxxxx vybavení.
1.12. Xxxxxxxx xxxxxxxxxx používání xxxxxxxxx zařízení
a) Pravidla x postupy xxx xxxxxxxx používání xxxxxxxxx xxxxxxxx.
x) Pravidla x xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxx osoba xxxx xx xxx správě.
1.13. Xxxxxxxx akvizice, vývoje x xxxxxx
x) Xxxxxxxxxxxx xxxxxxxxx pro akvizici, xxxxx a údržbu.
b) Xxxxxx xxxxxxxxxxxxx.
x) Xxxxxxxx xxxxxxxxxxx x xxxxxxxx xxxxxxx xxxxxxxxxxxx vybavení x xxxxxxxxx
1. xxxxxxxx x xxxxxxx nasazení xxxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxx,
2. xxxxxxxx x postupy xxx xxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxx.
1.14. Xxxxxxxx xxxxxxx xxxxxxxx xxxxx
x) Xxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx.
x) Xxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxx xxx ochranu xxxxxxxx xxxxx.
x) Popis přijatých x provedených xxxxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxx xxxxx.
1.15. Xxxxxxxx xxxxxxx bezpečnosti
a) Xxxxxxxx xxx xxxxxxx objektů.
b) Xxxxxxxx xxx kontrolu xxxxxx xxxx.
x) Pravidla xxx ochranu xxxxxxxx.
x) Xxxxxxx narušení xxxxxxx xxxxxxxxxxx.
1.16. Xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxx
x) Pravidla x xxxxxxx xxx xxxxxxxxx bezpečnosti xxxx.
x) Xxxxxx práv x xxxxxxxxxx za xxxxxxxx xxxxxx xxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxx xxxxxxxx v xxxxx xxxx.
x) Pravidla x xxxxxxx pro xxxxxxx xxxxxxxxxx xxxxxxxx x xxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxxx xxxx x xxxxxxxxxxxxx xxxxxxxxxx záznamů.
1.17. Xxxxxxxx xxxxxxx xxxx xxxxxxxxx xxxxx
x) Xxxxxxxx x postupy xxx xxxxxxx síťové komunikace.
b) Xxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxxx x sdílených xxxxxxxx xxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx ochranu xxxxxxxxxx xxxxxx.
1.18. Xxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx
x) Xxxxxxxx a xxxxxxx xxxxxxxx nástroje pro xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx xxxxxxx xxx vyhodnocování x xxxxxxxxx xx xxxxxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx.
x) Xxxxxxxx x postupy xxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxx pro xxxxxxx xxxxxxxxxxxxxx bezpečnostních událostí.
1.19. Xxxxxxxx xxxxxxx x xxxxxx nástroje xxx xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx
x) Xxxxxxxx x xxxxxxx xxx evidenci x xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx.
x) Pravidla x xxxxxxx xxxxxxxxxx aktualizace xxxxxxxx xxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx nastavení xxxxxxxxxxxxxx xxxxxxxxxx nástroje xxx xxxx a xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx.
1.20. Xxxxxxxx bezpečného xxxxxxxxx xxxxxxxxxxxxxx ochrany
a) Xxxxxx xxxxxxx s xxxxxxx xx typ x sílu xxxxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx xxxxxxxxxxxxxx xxxxxxx informací
1. xxx xxxxxxx po komunikačních xxxxxx,
2. při xxxxxxx xx xxxxxxx zařízení xxxx vyměnitelný technický xxxxx xxx.
x) Xxxxxx xxxxxx xxxxx.
1.21. Politika xxxxxx xxxx
x) Způsob x xxxxxxxx řízení xxxxxxxxxx xxxx x xxxxx povinné xxxxx, xxxxxx xxxxxxxxx, xxxxxxxxxxxx x komunikačních xxxxxxxxx.
x) Xxxxxxxxxxxxx xxxxxx xxxxxxxxxx xxxx.
x) Xxxxxx xxxxxx xxxxxxxx x testování xxxxxxxxxx xxxx.
1.22. Xxxxxxxx xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx
x) Xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu.
b) Xxxxxxxx x postupy xxx xxxxxxxxxxxx, evidenci x xxxxxxxx jednotlivých xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx testování xxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxx zlepšování xxxxxxxxxxxx xxxxxxxxxxx.
x) Evidence xxxxxxxxx.
1.23. Politika xxxxxx xxxxxxxxxx xxxxxxxx
x) Xxxxx x povinnosti xxxxxxxxxxxx xxxx.
x) Xxxx xxxxxx xxxxxxxxxx činností
1. xxxxxxxxx xxxxxx xxxxxxxxxxxxx služeb,
2. xxxx xxxxxxxx xxxxx,
3. xxx obnovení xxx.
x) Xxxxxxxx řízení xxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxx xxxxxxxxxx.
x) Způsoby xxxxxxxxx dopadů xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů xx xxxxxxxxxx x posuzování xxxxxxxxxxxxx xxxxx.
x) Určení x xxxxx xxxxxxxxxx xxxxx xxxxxxxxxx a xxxxxxxxxxx plánů.
f) Xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxx Úřadem.
2. Xxxxx xxxxxxxxxxxx xxxxxxxxxxx
2.1. Xxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx
x) Xxxx xxxxxx xxxxxxxxxxxx bezpečnosti.
b) Xxxxxxx xxxxxx xxxxxxxxxxxx bezpečnosti.
c) Xxxxxxxx auditu xxxxxxxxxxxx xxxxxxxxxxx.
x) Identifikování xxxx xxxxxxxx a xxxx, xxxxx xx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx.
x) Xxxxx a xxxxx, xxx byly xxxxxxxxx xxxxxxxx při auditu xxxxxxxxxxxx xxxxxxxxxxx.
x) Zjištění x auditu xxxxxxxxxxxx xxxxxxxxxxx.
x) Závěry xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
2.2. Zpráva x xxxxxxxxxxx systému xxxxxx bezpečnosti xxxxxxxxx
x) Xxxxxxxxxxx opatření x xxxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxxxxxx změn x xxxxxxxxx, xxxxx xxxxx xxx xxxx xx xxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
x) Zpětná xxxxx x xxxxxxxxxx řízení xxxxxxxxxxx informací
1. neshody x xxxxxxxx xxxxxxxx,
2. xxxxxxxx monitorování a xxxxxx,
3. xxxxxxxx xxxxxx,
4. xxxxxxxx xxxx systému xxxxxx bezpečnosti xxxxxxxxx.
x) Xxxxxxxx xxxxxxxxx xxxxx x xxxx xxxxx xxxxxxxx xxxxx.
x) Xxxxxxxxxxxx xxxxxxxx pro neustálé xxxxxxxxxx.
x) Xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx, xxxxxxxxx opatření x osob zajišťujících xxxxx xxxxxxxxxxxx činností.
2.3. Xxxxxxxx xxx xxxxxxxxxxxx x hodnocení aktiv x pro xxxxxxxxx xxxxx
x) Xxxxxx xxxxxxxx xxx xxxxxxxxx primárních xxxxx
1. xxxxxx stupnice xxx hodnocení xxxxxx xxxxxxxxxx xxxxx,
2. určení xxxxxxxx xxx hodnocení xxxxxx xxxxxxxxx aktiv,
3. xxxxxx xxxxxxxx xxx xxxxxxxxx úrovní xxxxxxxxxxx xxxxx.
x) Určení xxxxxxxx xxx xxxxxxxxx xxxxx
1. xxxxxx stupnice xxx xxxxxxxxx úrovní xxxxxx,
2. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxx,
3. xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxx xxxxxxxxxxxxx,
4. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxx.
x) Xxxxxx a přístupy xxx zvládání xxxxx.
x) Xxxxxxx xxxxxxxxxxx akceptovatelných xxxxx.
2.4. Xxxxxx x xxxxxxxxx xxxxx a xxxxx
x) Xxxxxxx xxxxxxxxxx xxxxx
1. xxxxxxxxxxxx a xxxxx primárních xxxxx,
2. xxxxxx xxxxxxx xxxxxxxxxx xxxxx,
3. xxxxxxxxx primárních xxxxx z xxxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx.
x) Xxxxxxx podpůrných xxxxx
1. xxxxxxxxxxxx x xxxxx xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxx xxxxxxxxxx xxxxx,
3. určení xxxxx xxxx xxxxxxxxxx x xxxxxxxxxx aktivy.
c) Xxxxxxxxx xxxxx
1. posouzení možných xxxxxx na aktiva,
2. xxxxxxxxx xxxxxxxxxxxx hrozeb,
3. xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxx, xxxxxxxxx xxxxxxxxxxxx opatření,
4. xxxxxxxxx xxxxxx xxxxxx, xxxxxxxxx xxxx xxxxxx x xxxxxxxx xxx xxxxxxxxxxxxxxxx rizik,
5. určení x schválení akceptovatelných xxxxx.
x) Xxxxxxxx rizik
1. xxxxx xxxxxxx xxxxxxxx xxxxx,
2. xxxxx opatření x xxxxxx realizace.
2.5. Xxxxxxxxxx x aplikovatelnosti
a) Xxxxxxx vyloučených xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx touto xxxxxxxxx včetně xxxxxxxxxx, xxxx xxxxxx aplikována.
b) Xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxx způsobu xxxxxx xxxxxxxxxxxx.
2.6. Xxxx xxxxxxxx rizik
a) Xxxxx x xxxx vybraných xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx včetně xxxxx na xxxxxxxxx xxxxxx.
x) Xxxxxxxx xxxxxx xxx jednotlivá xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
x) Osoby xxxxxxxxxxx xxxxxxxxxx bezpečnostní opatření xxx xxxxxxxx xxxxx.
x) Xxxxxxx zavedení xxxxxxxxxxxx xxxxxxxxxxxxxx opatření xxx xxxxxxxx xxxxx.
x) Xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxx hodnocení xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
2.7. Xxxx xxxxxxx xxxxxxxxxxxxxx povědomí
a) Xxxxx x xxxxxxx xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx bezpečnostní xxxx.
x) Xxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx.
x) Xxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxx a xxxxxx xxxx, které školení xxxxxxxxxxx.
x) Xxxxx a xxxxxxx xxxxxxxxx xxxxx.
2.8. Xxxxxxxx xxxx
x) Xxxxxxxx xxxxxxxxx xxxxx významných xxxx.
x) Záznamy x xxxxxxx konfigurace xxxxxxxxxx xxxxx.
2.9. Hlášené xxxxxxxxx xxxxx
Xxxxxxx xxxxxxxxx kontaktních xxxxx.
2.10. Xxxxxxx xxxxxx xxxxxxxxx právních xxxxxxxx, xxxxxxxxx předpisů a xxxxxx předpisů x xxxxxxxxx xxxxxxx
x) Přehled xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxx.
x) Přehled xxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxxx.
2.11. Xxxxx xxxxxxxxxx xxxxxxxxxxx
x) Xxxxxxxxx infrastruktury.
b) Xxxxxxx síťových zařízení.
Příloha x. 6 x xxxxxxxx x. 82/2018 Sb.
Výbor xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx role
Tato xxxxxxx xxxxxxxx popis xxxxxxxxxxxx xxxxxxxxx xxx xxxxx xxx xxxxxx xxxxxxxxxxxx bezpečnosti x xxxxxxxxxxxx xxxx xxxxxxx x §6 x 7.
Xxx. 1: Xxxxx xxx xxxxxx kybernetické xxxxxxxxxxx
|
Xxxx: |
Xxxxx xxx řízení xxxxxxxxxxxx xxxxxxxxxxx |
|
Xxxxxxx xxxxxxxx: |
x) Xxxxxxxxxxx za celkové xxxxxx x rozvoj xxxxxxxxxxxx xxxxxxxxxxx x xxxxx xxxxxxx osoby. |
|
Xxxxx podmínky: |
a) Xxxx xxxxxx pro xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxx xxx xxxxxxx |
Xxx. 2: Manažer xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx |
|
Xxxxxxx činnosti: |
a) Xxxxxxxxxxx xx xxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx. |
|
Znalosti: |
a) Xxxxx xxxx XXX/XXX 27000 x xxxxxxx xxxxx x xxxxxxx xxxxxxxxxxx a ICT. |
|
Xxxxxxxxxx: |
x) Xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx. |
|
Xxxxxxxx x praxe: |
a) Xxxxxxx 3 roky xxxxx x xxxxx xxxxxxxxxx nebo xxxxxxxxxxxx xxxxxxxxxxx, nebo |
|
Relevantní xxxxxxxxxxx*: |
Xxxxxxxxx Xxxxxxxxxxx Security Xxxxxxx (XXXX), Certified xx Xxxx xxx Xxxxxxxxxxx Xxxxxxx Xxxxxxx (XXXXX), Certified Xxxxxxxxxxx Xxxxxxx Security Xxxxxxxxxxxx (XXXXX), Xxxxxxx BI (xxxxxxxxxxx xxxxxx XXX). |
|
Xxxxx xxxxxxxx: |
x) Xxxx xxxx xxxxxxxxxx x xxxxxx xxxxxxxxxxx za provoz xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx x x xxxxxxx xxxxxxxxxx či xxxxxxxx xxxxxx. |
Xxx. 3: Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxxxxxx kybernetické xxxxxxxxxxx |
|
Xxxxxxx xxxxxxxx: |
x) Xxxxxxxxxxx xx xxxxx xxxxxxxxxxxx bezpečnostních xxxxxxxx. |
|
Xxxxxxxx: |
x) Xxxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systémů x xxxx xxxxxxxxxx. |
|
Xxxxxxxxxx: |
x) Xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx x xxxxx: |
x) Xxxxxxx 3 xxxx xxxxx v xxxxx xxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxx, nebo |
|
Xxxxxxxxxx xxxxxxxxxxx*: |
Xxxxxxxxx Xxxxxxx Xxxxxx (XXX), XxxxXXX Xxxxxxxx +, Xxxxxxxxx Xxxxxxxxxxx Xxxxxxxx Manager (CISM), Xxxxxxxxx xx Risk xxx Information Xxxxxxx Xxxxxxx (XXXXX), Xxxxxxxxx Xxxxxxxxxxx Systems Xxxxxxxx Xxxxxxxxxxxx (XXXXX), Manažer XX (xxxxxxxxxxx xxxxxx XXX). |
|
Xxxxx xxxxxxxx: |
Xxxx není xxxxxxxxxx s xxxxxx xxxxxxxxxxx za xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx. |
Xxx. 4: Xxxxxxx xxxxxxxxxxxx bezpečnosti
|
Role: |
Auditor xxxxxxxxxxxx xxxxxxxxxxx |
|
Xxxxxxx xxxxxxxx: |
Xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx. |
|
Xxxxxxxx: |
x) Xxxxxxxxxxx x xxxxx xxxxxx xxxxxxxxxx xxxxxxxxxxx. |
|
Xxxxxxxxxx: |
x) Plánování xxxxxx informační nebo xxxxxxxxxxxx xxxxxxxxxxx. |
|
Xxxxxxxx x praxe: |
a) Xxxxxxx 3 xxxx xxxxx x oblasti xxxxxx xxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxx |
|
Relevantní certifikace*: |
Certified Xxxxxxxxxxx Xxxxxxx Xxxxxxx (XXXX), Xxxxxxxxx Internal Xxxxxxx (CIA), Xxxxxxxxx xx Xxxx xxx Xxxxxxxxxxx Xxxxxxx Xxxxxxx (XXXXX), Xxxx Xxxxxxx Xxxxxxxxxxx Xxxxxxxx Xxxxxxxxxx Xxxxxx (Lead Xxxxxxx XXXX), Xxxxxxx XX (xxxxxxxxxxx schéma ČIA). |
|
Další xxxxxxxx: |
x) Xxxx xxxx xxxxxxxxxx x xxxxxx |
Tab. 5: Xxxxxx xxxxxx
|
Xxxx: |
Xxxxxx xxxxxx |
|
Xxxxxxx xxxxxxxx: |
x) Odpovědnost xx xxxxxxxxx xxxxxxx, xxxxxxx x bezpečnosti xxxxxx. |
|
Xxxxxxxx: |
x) Dobrá xxxxxxx xxxxxx, xxxxx xx xxxxxxxx. |
* Xxxxxxxxxxx může být x xxxx xxx xxxxxxx, xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxx xxxxxxxxx XXX 17 024.
Příloha x. 7 x xxxxxxxx x. 82/2018 Sb.
Řízení xxxxxxxxxx - xxxxxxxxxxxx xxxxxxxx xxx smluvní xxxxxx
Xxxxx xxxxxxx xxxxxxxxx x xxxxxxxxxx dodavateli:
a) ustanovení x xxxxxxxxxxx informací (x xxxxxxx xxxxxxxxxx, xxxxxxxxxxx a xxxxxxxxx),
x) xxxxxxxxxx o oprávnění xxxxxx data,
c) ustanovení x xxxxxxxxx programového xxxx, popřípadě o xxxxxxxxxxxx xxxxxxxxx,
x) ustanovení x xxxxxxxx x xxxxxx xxxxxxxxxx (xxxxxxxx xxxxxxxxxxxx xxxxxx),
x) xxxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxx, xxxxxxx musí xxx xxxxxxxxx, že poddodavatelé xx xxxxxx dodržovat x plném xxxxxxx xxxxxxxx mezi xxxxxxxx xxxxxx x xxxxxxxxxxx x nebudou v xxxxxxx s požadavky xxxxxxx osoby na xxxxxxxxxx,
x) ustanovení o xxxxxxxxxx dodavatele dodržovat xxxxxxxxxxxx politiky xxxxxxx xxxxx xxxx xxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxx xxxxxxxxxx povinnou xxxxxx,
x) ustanovení x xxxxxx změn,
h) ustanovení x souladu smluv x obecně závaznými xxxxxxxx xxxxxxxx,
x) xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxx osobu x
1. xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx s xxxxxxx xxxxxxx,
2. xxxxxxx xxxxxx xxxxx xx xxxxxx xxxxxxxxxx a x zbytkových xxxxxxxx xxxxxxxxxxxxx x xxxxxxx xxxxxxx,
3. xxxxxxxx změně xxxxxxxx xxxxxx dodavatele xxxxx xxxxxx x xxxxxxxxxx xxxxxxxxxxx xxxx xxxxx vlastnictví zásadních xxxxx, popřípadě xxxxx xxxxxxxxx xxxxxxxx s xxxxxx xxxxxx, xxxxxxxxxxx xxxxx xxxxxxxxxxx k xxxxxx podle xxxxxxx xx xxxxxxxx,
x) xxxxxxxxxxx xxxxxxxx z xxxxxxx xxxxxxxxxxx xxx xxxxxxxx xxxxxxx (xxxxxxxxx přechodné xxxxxx xxx xxxxxxxx xxxxxxxxxx, xxx xx xxxxx xxxxx xxxxxxxx xxxxxx xxxx xxxxxxxxx xxxxxx xxxxxx, migrace xxx x xxxxxxx),
x) xxxxxxxxxxx xxxxxxxx pro xxxxxx xxxxxxxxxx xxxxxxxx x xxxxxxxxxxx s xxxxxxxxxx (xxxxxxxxx xxxxxxxx xxxxxxxxxx xx xxxxxxxxxxx xxxxx, úkoly dodavatelů xxx xxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx),
x) xxxxxxxxxxx xxxxxxxx xxx formát xxxxxxx dat, xxxxxxxxxx xxxxx x xxxxxxxxx xx xxxxxxxx xxxxxxxx,
x) xxxxxxxx pro likvidaci xxx,
x) xxxxxxxxxx x xxxxx xxxxxxxxxxxx odstoupit xx xxxxxxx x xxxxxxx xxxxxxxx xxxxx xxxxxxxx xxx xxxxxxxxxxx xxxx xxxxx xxxxxxxx xxx zásadními xxxxxx xxxxxxxxxxx xxxxxxxxxxx x xxxxxx xxxxx smlouvy x
x) xxxxxxxxxx x xxxxxxxx za porušení xxxxxxxxxx.
Příloha x. 8 x xxxxxxxx x. 82/2018 Xx.
Xxxx Xxxxxxxxx xxx xxxxxxx xxxxxxxxxxx xxxxx
Xxxxxxxxx
Xxxxxx xxxxxxx č. 82/2018 Sb. xxxxx xxxxxxxxx xxxx 28.5.2018.
Xx xxx xxxxxxxx právní xxxxxxx xxxxx xxxxx xx xxxxxxxxx.
Xxxxxx xxxxxxx x. 82/2018 Sb. xxx xxxxxx xxxxxxx xxxxxxxxx č. 264/2025 Sb. x xxxxxxxxx xx 1.11.2025.
Xxxxx xxxxxxxxxxxx xxxxxxxx xxxxx xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxx xxxx xxxxxxxxxxxxx, xxxxx xx xxxx xxxxxx xxxxxxxxx xxxxx shora xxxxxxxxx xxxxxxxx xxxxxxxx.
1) Xxxxxxxx Evropského xxxxxxxxxx x Rady (XX) 2016/1148 xx xxx 6. července 2016 x xxxxxxxxxx x xxxxxxxxx xxxxxx xxxxxxxx úrovně xxxxxxxxxxx xxxx x xxxxxxxxxxxx xxxxxxx x Xxxx.